Bollettini sulla sicurezza

In base all'avviso VMSA-2025-0013, a Broadcom sono state segnalate privatamente più vulnerabilità in VMware ESXi.

Abbiamo già corretto queste vulnerabilità o stiamo applicando le patch necessarie fornite da Broadcom. Non sono note soluzioni alternative per queste vulnerabilità segnalate.

Una volta applicata la patch, i deployment di VMware Engine devono eseguire ESXi 7.0U3w o ESXi 8.0U3f o versioni successive.

Che cosa devo fare?

Google consiglia ai clienti di monitorare i propri carichi di lavoro su VMware Engine per rilevare eventuali attività insolite.

• VMSA-2025-0013
• CVE-2025-41236
• CVE-2025-41237
• CVE-2025-41238
• CVE-2025-41239

In base all'avviso di sicurezza VMware VMSA-2024-0017, è stata segnalata privatamente a VMware una vulnerabilità di SQL injection in VMware Aria Automation. Sono disponibili patch per correggere questa vulnerabilità nei prodotti VMware interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Automation KB325790.

• VMSA-2024-0017
• CVE-2024-22280

In base all'avviso di sicurezza VMware VMSA-2025-0006, è stata segnalata in modo responsabile a VMware una vulnerabilità di escalation dei privilegi locali in VMware Aria Operations. Sono disponibili patch per correggere questa vulnerabilità nei prodotti VMware interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Operations 8.18 HF5.

• VMSA-2025-0006
• CVE-2025-22231

In base all'avviso di sicurezza VMware VMSA-2025-0003, sono state segnalate privatamente a VMware più vulnerabilità in VMware Aria Operations for Logs e VMware Aria Operations. Sono disponibili patch per correggere questa vulnerabilità nei prodotti VMware interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Operations for Logs 8.18.3 e VMware Aria Operations 8.18.3.

• VMSA-2025-0003
• CVE-2025-22218
• CVE-2025-22219
• CVE-2025-22220
• CVE-2025-22221
• CVE-2025-22222

In base all'avviso di sicurezza VMware VMSA-2025-0008, è stata segnalata privatamente a VMware una vulnerabilità di cross-site scripting (XSS) basata sul DOM in VMware Aria Automation. Sono disponibili patch per correggere questa vulnerabilità nei prodotti VMware interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade alla patch 2 di VMware Aria Automation 8.18.1.

• VMSA-2025-0008
• CVE-2025-22249

VMware ha divulgato più vulnerabilità in VMSA-2025-0004 che interessano i componenti ESXi implementati negli ambienti dei clienti.

Impatto di VMware Engine

I tuoi cloud privati sono già stati patchati o sono in fase di aggiornamento per risolvere la vulnerabilità di sicurezza. Nell'ambito del servizio VMware Engine, tutti i clienti ricevono host bare metal dedicati con dischi collegati localmente fisicamente isolati da altro hardware. Ciò significa che la vulnerabilità è limitata alle VM guest all'interno del tuo cloud privato specifico.

I tuoi cloud privati verranno aggiornati alla build 24534642 della versione 7.0u3s. Equivale a 7.0U3s: numero build 24585291.

Che cosa devo fare?

Segui le istruzioni di Broadcom e dei tuoi fornitori di sicurezza in merito a questa vulnerabilità.

• VMSA-2025-0004
• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

In base all'avviso di sicurezza VMware VMSA-2025-0001, è stata segnalata in modo responsabile a VMware una vulnerabilità di falsificazione di richieste lato server (SSRF) in VMware Aria Automation. Sono disponibili patch per correggere questa vulnerabilità nei prodotti VMware interessati.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Automation 8.18.2 HF.

• VMSA-2025-0001
• CVE-2025-22215

In base all'avviso di sicurezza VMware VMSA-2024-0022, sono state segnalate a VMware diverse vulnerabilità in VMware Aria Operations. Sono disponibili aggiornamenti per correggere queste vulnerabilità nel prodotto VMware interessato.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware Aria Operations 8.18.2.

• VMSA-2024-0022
• CVE-2024-38830
• CVE-2024-38831
• CVE-2024-38832
• CVE-2024-38833
• CVE-2024-38834

In base all'avviso di sicurezza VMware VMSA-2024-0020, sono state segnalate a VMware diverse vulnerabilità in VMware NSX.

La versione di NSX-T in esecuzione nel tuo ambiente VMware Engine non è interessata da CVE-2024-38815, CVE-2024-38818 o CVE-2024-38817.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

In base all'avviso di sicurezza VMSA-2024-0021 di VMware, è stata segnalata privatamente a VMware una vulnerabilità SQL injection autenticata in VMware HCX.

Abbiamo applicato la mitigazione approvata da VMware per risolvere questa vulnerabilità. Questa correzione risolve una vulnerabilità di sicurezza descritta in CVE-2024-38814. Al momento, le versioni delle immagini in esecuzione nel tuo cloud privato VMware Engine non riflettono alcuna modifica per indicare quelle applicate. Sono state installate le mitigazioni appropriate e il tuo ambiente è protetto da questa vulnerabilità.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade a VMware HCX versione 4.9.2.

• VMSA-2024-0021
• CVE-2024-38814

VMware ha divulgato più vulnerabilità in VMSA-2024-0019 che interessano i componenti vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

• Google ha già disattivato qualsiasi potenziale exploit di questa vulnerabilità. Ad esempio, Google ha bloccato le porte attraverso le quali questa vulnerabilità potrebbe essere sfruttata.
• Inoltre, Google garantisce che tutte le implementazioni future di vCenter non siano esposte a questa vulnerabilità.

Che cosa devo fare?

Al momento non sono richieste ulteriori azioni.

• CVE-2024-38812
• CVE-2024-38813

È stata scoperta una vulnerabilità CVE-2024-6387 nel server OpenSSH (sshd). Questa vulnerabilità è sfruttabile da remoto sui sistemi Linux basati su glibc: un'esecuzione di codice remoto non autenticata come root, perché influisce sul codice privilegiato di sshd, che non è in sandbox e viene eseguito con privilegi completi.

Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda di vincere una race condition, che è difficile da sfruttare con successo e potrebbe richiedere diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

1. Applica gli aggiornamenti delle distribuzioni Linux ai tuoi carichi di lavoro non appena diventano disponibili. Fai riferimento alle indicazioni delle distribuzioni Linux.
2. Se l'aggiornamento non è possibile, valuta la possibilità di disattivare OpenSSH finché non è possibile applicare la patch.
3. Se OpenSSH deve rimanere attivo, puoi anche eseguire un aggiornamento della configurazione che elimina la condizione di race condition per l'exploit. Si tratta di una mitigazione in fase di runtime. Per applicare le modifiche alla configurazione di sshd, questo script riavvierà il servizio sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Infine, monitora eventuali attività di rete insolite che coinvolgono i server SSH.

• CVE-2024-6387
• Risposta di Broadcom a VMware Cloud Foundation

VMware ha rivelato diverse vulnerabilità in VMSA-2024-0012 che interessano i componenti vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

• La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Google ha già bloccato le porte vulnerabili sul server vCenter, il che impedisce qualsiasi potenziale exploit di questa vulnerabilità.
• Inoltre, Google garantisce che tutte le implementazioni future di vCenter non siano esposte a questa vulnerabilità.

Che cosa devo fare?

Al momento non sono richieste ulteriori azioni.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware ha divulgato più vulnerabilità in VMSA-2024-0006 che interessano i componenti ESXi implementati negli ambienti dei clienti.

Impatto di VMware Engine

I tuoi cloud privati sono stati aggiornati per risolvere la vulnerabilità di sicurezza.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware ha divulgato più vulnerabilità in VMSA-2023-0023 che interessano i componenti vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

• La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Queste porte non sono esposte a internet pubblico.
• Se le porte vCenter 2012/tcp, 2014/tcp e 2020/tcp non sono accessibili a sistemi non attendibili, non sei esposto a questa vulnerabilità.
• Google ha già bloccato le porte vulnerabili sul server vCenter, impedendo qualsiasi potenziale exploit di questa vulnerabilità.
• Inoltre, Google garantirà che tutti i deployment futuri del server vCenter non siano esposti a questa vulnerabilità.
• Al momento del bollettino, VMware non è a conoscenza di alcun exploit "in the wild". Per maggiori dettagli, consulta la documentazione di VMware.

Che cosa devo fare?

Al momento non sono richieste ulteriori azioni.

• CVE-2023-34048, CVE-2023-34056

Gli aggiornamenti di VMware vCenter Server risolvono più vulnerabilità di corruzione della memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impatto di VMware Engine

VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation).

Che cosa devo fare?

I clienti non sono interessati e non è necessario intraprendere alcuna azione.

• CVE-2023-20893

Intel ha recentemente annunciato l'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle sue famiglie di processori. Ti invitiamo a valutare i rischi in base all'avviso.

Impatto di VMware Engine

La nostra flotta utilizza le famiglie di processori interessate. Nel nostro deployment, l'intero server è dedicato a un solo cliente. Pertanto, il nostro modello di deployment non aggiunge alcun rischio aggiuntivo alla tua valutazione di questa vulnerabilità.

Stiamo collaborando con i nostri partner per ottenere le patch necessarie e le implementeremo con priorità in tutta la flotta utilizzando la procedura di upgrade standard nelle prossime settimane.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua. Stiamo lavorando all'upgrade di tutti i sistemi interessati.

• CVE-2022-40982

Secondo l'avviso di sicurezza VMware VMSA-2021-0020, VMware ha ricevuto segnalazioni di più vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per correggere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso di sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nel prossimo upgrade dello stack VMware (come indicato nell'avviso anticipato inviato a luglio, a breve verranno forniti ulteriori dettagli sulla tempistica specifica dell'upgrade).

Impatto di VMware Engine

In base alle nostre indagini, non è stato riscontrato alcun impatto sui clienti.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

In base all'avviso di sicurezza VMware VMSA-2021-0010, l'esecuzione di codice remoto e le vulnerabilità di bypass dell'autenticazione in vSphere Client (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili aggiornamenti per correggere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le patch fornite da VMware per lo stack vSphere in base all'avviso di sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. Le versioni delle immagini in esecuzione nel tuo cloud privato VMware Engine non riflettono alcuna modifica al momento per indicare le patch applicate. Ti assicuriamo che sono state installate le patch appropriate e il tuo ambiente è protetto da queste vulnerabilità.

Impatto di VMware Engine

In base alle nostre indagini, non è stato riscontrato alcun impatto sui clienti.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Secondo l'avviso di sicurezza VMware VMSA-2021-0002, VMware ha ricevuto segnalazioni di più vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per correggere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le soluzioni alternative documentate ufficialmente per lo stack vSphere in base all'avviso di sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impatto di VMware Engine

In base alle nostre indagini, non è stato riscontrato alcun impatto sui clienti.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade all'ultima versione di HCX.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974