La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado una falla de seguridad crítica que afecta a Broadcom VMware vCenter Server y que se parchó en junio de 2024 para sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2024-37079 (Puntuación CVSS: 9,8), que se refiere a un desbordamiento del montón en la implementación del Protocolo DCE/RPC eso podría permitir que un mal actor con acceso a la red de vCenter Server logre la ejecución remota de código enviando un paquete de red especialmente diseñado.
Broadcom lo resolvió en junio de 2024, junto con CVE-2024-37080, otro desbordamiento de montón en la implementación del protocolo DCE/RPC que podría conducir a la ejecución remota de código. A los investigadores de la empresa china de ciberseguridad QiAnXin LegendSec, Hao Zheng y Zibo Li, se les atribuyó el mérito de descubrir e informar los problemas.
en un presentación En la conferencia de seguridad Black Hat Asia en abril de 2025, los investigadores dijeron que las dos fallas son parte de un conjunto de cuatro vulnerabilidades (tres desbordamientos de montón y una escalada de privilegios) que se descubrieron en el servicio DCE/RPC. Los otros dos defectos, CVE-2024-38812 y CVE-2024-38813fueron parcheados por Broadcom en septiembre de 2024.
En particular, descubrieron que una de las vulnerabilidades de desbordamiento del montón podría encadenarse con la vulnerabilidad de escalada de privilegios (CVE-2024-38813) para lograr acceso raíz remoto no autorizado y, en última instancia, obtener control sobre ESXi.
Actualmente no se sabe cómo se está explotando CVE-2024-37079, si es obra de algún actor o grupo de amenazas conocido, o la escala de dichos ataques. Sin embargo, desde entonces Broadcom ha actualizado su aviso para confirmar oficialmente el abuso de la vulnerabilidad.
«Broadcom tiene información que sugiere que la explotación de CVE-2024-37079 se ha producido en estado salvaje», dijo la empresa. dicho en su actualización.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben actualizar a la última versión antes del 13 de febrero de 2026 para una protección óptima.
Fuente