Агентство по кибербезопасности и защите инфраструктуры США (CISA) 23 января 2026 года внесло новую уязвимость в свой каталог активно эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Речь идет об ошибке CVE-2024-37079 в продукте VMware vCenter Server. Включение в каталог KEV означает, что специалисты CISA обнаружили доказательства активного использования этой уязвимости злоумышленниками в реальных атаках.
Детали уязвимости
Уязвимость CVE-2024-37079 была впервые опубликована еще в июне 2024 года. Она представляет собой критическую ошибку типа «переполнение кучи» (heap-overflow) в реализации протокола DCERPC в VMware vCenter Server. Злоумышленник, имеющий доступ к сети, где развернут сервер vCenter, может отправить специально сформированный сетевой пакет. Это может привести к удаленному выполнению произвольного кода, что является одной из наиболее серьезных угроз.
Согласно общей шкале оценки уязвимостей (CVSS), ошибка имеет максимально высокий балл 9.8 из 10, что соответствует уровню «Критическая». Уязвимость не требует от атакующего предварительной аутентификации или взаимодействия с пользователем, что делает ее особенно опасной.
Под угрозой находятся следующие версии программного обеспечения:
- VMware vCenter Server версий 8.0 до 8.0 U2d, 8.0 до 8.0 U1e и 7.0 до 7.0 U3r.
- Платформа виртуализации VMware Cloud Foundation версий 5.x и 4.x.
Хотя директива формально касается федеральных агентств, эксперты в области кибербезопасности настоятельно рекомендуют всем организациям, использующим уязвимые версии VMware vCenter Server, немедленно принять меры. vCenter Server является критически важным компонентом инфраструктуры виртуализации, обеспечивающим централизованное управление виртуальными машинами VMware. Компрометация этого сервера дает злоумышленникам практически полный контроль над виртуальной средой предприятия.
Специалисты напоминают, что эксплуатация подобных уязвимостей часто является первым шагом в сложных цепочках взлома. Например, после получения первоначального доступа злоумышленники могут развернуть вредоносную нагрузку (payload), такую как программы-вымогатели (ransomware), или обеспечить себе постоянное присутствие (persistence) в системе для кражи данных. Таким образом, оперативное применение патчей критически важно для предотвращения масштабных инцидентов.
На данный момент компания Broadcom (владелец активов VMware) уже выпустила необходимые исправления. Пользователям уязвимых версий необходимо обновить свои системы до актуальных и безопасных выпусков. В случае невозможности немедленного обновления рекомендуется следовать стандартным мерам по снижению рисков. В частности, необходимо ограничить сетевой доступ к интерфейсам управления vCenter Server с помощью брандмауэров и систем обнаружения вторжений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2024-37079
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453
