2024 VMware vCenter: krytyczna luka CVE-2024-37079 znów na celowniku – trwa eksploatacja “in the wild” - Security Bez Tabu

2024 VMware vCenter: krytyczna luka CVE-2024-37079 znów na celowniku – trwa eksploatacja “in the wild”

Wprowadzenie do problemu / definicja luki

vCenter Server to centralny komponent zarządzania środowiskiem VMware vSphere, często stojący “w sercu” wirtualizacji w firmach. Jeśli atakujący przejmie vCenter, zwykle zyskuje ścieżkę do kontroli nad hostami ESXi, maszynami wirtualnymi, siecią wirtualną i mechanizmami automatyzacji.

Właśnie dlatego krytyczna podatność CVE-2024-37079 (ocena CVSS 9.8) wraca jak bumerang: według ostrzeżeń publicznych oraz aktualizacji doradztwa producenta istnieją przesłanki, że jest aktywnie wykorzystywana w atakach.

W skrócie

  • Co: CVE-2024-37079 – błąd typu out-of-bounds write / heap overflow w implementacji DCERPC w VMware vCenter Server, umożliwiający zdalne wykonanie kodu (RCE).
  • Jak: atak przez specjalnie spreparowane pakiety sieciowe, jeśli napastnik ma dostęp sieciowy do vCenter.
  • Kiedy załatano: poprawki opublikowano w czerwcu 2024; Broadcom zaktualizował advisory w styczniu 2026, dodając informację o eksploatacji “in the wild”.
  • Workaround: brak sensownych obejść – trzeba aktualizować.

Kontekst / historia / powiązania

Podatność CVE-2024-37079 została ujawniona w czerwcu 2024 wraz z innymi błędami w vCenter/Cloud Foundation. CERT-EU opisywał wówczas pakiet poprawek obejmujący dwie krytyczne luki RCE (CVE-2024-37079 i CVE-2024-37080) oraz oddzielną podatność do eskalacji uprawnień (CVE-2024-37081).

W styczniu 2026 sytuacja stała się pilniejsza:

  • Broadcom dopisał do advisory uwagę, że ma informacje sugerujące wykorzystanie CVE-2024-37079 w realnych atakach.
  • Media branżowe poinformowały, że luka znalazła się w centrum zainteresowania atakujących, a administracje (w tym federalne w USA) dostały twarde terminy na działanie.

Analiza techniczna / szczegóły luki

CVE-2024-37079 dotyczy implementacji DCE/RPC (DCERPC) w vCenter Server. W praktyce błąd wiąże się z niewłaściwą weryfikacją granic podczas przetwarzania danych z pakietów sieciowych, co prowadzi do przepełnienia sterty (heap overflow) i potencjalnie do zdalnego wykonania kodu.

Kluczowe cechy, które czynią podatność “atrakcyjną” operacyjnie:

  • zdalny wektor ataku (pakiety sieciowe),
  • brak konieczności interakcji użytkownika,
  • wysoki wpływ (C/I/A = High) przy krytycznej ocenie CVSS.

Brak obejść w produkcie oznacza, że w wielu środowiskach jedyną sensowną kontrolą ryzyka jest szybka aktualizacja (oraz twarde ograniczenie ekspozycji sieciowej vCenter).

Praktyczne konsekwencje / ryzyko

Jeśli CVE-2024-37079 zostanie skutecznie wykorzystana, organizacja musi liczyć się z typowymi skutkami przejęcia warstwy zarządzania wirtualizacją:

  • przejęcie kontroli nad środowiskiem vSphere (zmiany konfiguracji, uruchamianie złośliwych zadań, dostęp do konsol VM),
  • eskalacja ataku na hosty i maszyny wirtualne (ruch boczny, kradzież poświadczeń, wyłączanie zabezpieczeń),
  • ryzyko sabotażu/zaszyfrowania (vCenter bywa elementem “szybkiej ścieżki” do masowego wyłączania usług).

Warto też pamiętać o realiach ofensywnych: infrastruktura wirtualizacyjna jest historycznie lubiana zarówno przez grupy APT, jak i cyberprzestępców, bo daje wysoki zwrot z inwestycji (jeden punkt → wiele systemów).

Rekomendacje operacyjne / co zrobić teraz

  1. Zidentyfikuj ekspozycję i wersje
    • Sprawdź, czy masz vCenter Server 7.0/8.0 oraz wdrożenia w ramach VMware Cloud Foundation – to kluczowe linie produktowe wskazywane jako dotknięte.
  2. Wdróż poprawki (priorytet P0)
    • Broadcom w macierzy odpowiedzi wskazuje wersje naprawione m.in.: vCenter 8.0 U2d, 8.0 U1e, 7.0 U3r (zależnie od gałęzi i zakresu CVE).
    • Ponieważ workaroundów brak, aktualizacja to jedyna realna ścieżka redukcji ryzyka.
  3. Odetnij vCenter od internetu i “szerokich” sieci
    • vCenter nie powinno być publicznie wystawione; ogranicz dostęp do segmentów administracyjnych, jump hostów i VPN, stosuj listy ACL i mikrosegmentację. (To zalecenie jest zgodne z praktyką branżową, a wprost podkreślane w komentarzach wokół tej kampanii).
  4. Polowanie na oznaki nadużyć
    • Skoro szczegóły kampanii nie są publiczne, podejdź “symptomatycznie”: nietypowe procesy/usługi na VCSA, nowe konta/klucze, zmiany ról, anomalie w logach vCenter, skoki ruchu do usług RPC, podejrzane zadania automatyzacji.
    • Zabezpiecz dowody (snapshoty, eksport logów), zanim wykonasz działania naprawcze w razie incydentu.
  5. Zarządzanie ryzykiem terminowym
    • W kontekście KEV/terminów egzekucyjnych (dla części podmiotów) w obiegu pojawia się data 13 lutego 2026 jako deadline na załatanie w administracji federalnej USA – potraktuj to jako czytelny sygnał pilności także dla biznesu.

Różnice / porównania z innymi przypadkami

  • CVE-2024-37079 vs CVE-2024-37080: oba błędy są krytyczne, oba dotyczą DCERPC i klasy heap overflow, z podobnym potencjałem RCE przy dostępie sieciowym.
  • CVE-2024-37081: to inna klasa problemu – lokalna eskalacja uprawnień wynikająca z błędnej konfiguracji sudo. Jest ważna, ale zwykle wymaga już jakiejś formy dostępu lokalnego do appliance.
  • Wątek “DCERPC w vCenter” jako powracający motyw: komentatorzy zwracają uwagę na wcześniejsze podatności w tej okolicy funkcjonalnej, co ułatwia atakującym priorytetyzację celu i budowę TTP wokół infrastruktury wirtualizacyjnej.

Podsumowanie / kluczowe wnioski

CVE-2024-37079 to klasyczny przykład “starej” krytycznej luki, która wraca ze zdwojoną siłą, gdy pojawiają się sygnały realnej eksploatacji. Jeśli zarządzasz VMware vCenter:

  • traktuj temat jako incydent waiting-to-happen,
  • aktualizuj natychmiast (brak workaroundów),
  • upewnij się, że vCenter jest ściśle odseparowane sieciowo,
  • uruchom hunt na oznaki kompromitacji w środowiskach, które mogły być narażone.

Źródła / bibliografia

  1. SecurityWeek – “2024 VMware Flaw Now in Attackers’ Crosshairs” (SecurityWeek)
  2. Broadcom (VMware) – VMSA-2024-0012 / aktualizacja o eksploatacji CVE-2024-37079 (Support Portal)
  3. NVD (NIST) – opis i metryki CVE-2024-37079 (nvd.nist.gov)
  4. CERT-EU – advisory 2024-060 dot. vCenter/Cloud Foundation (cert.europa.eu)
  5. The Register – kontekst KEV i presja terminowa (m.in. 13 lutego 2026) (theregister.com)