La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una falla de seguridad crítica que afecta a Broadcom VMware vCenter Server, parcheada en junio de 2024, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2024-37079 (puntuación CVSS: 9.8), que se refiere a un desbordamiento de montón en la implementación del protocolo DCE/RPC que podría permitir a un actor malicioso con acceso de red a vCenter Server lograr la ejecución remota de código enviando un paquete de red especialmente diseñado.
Fue resuelta por Broadcom en junio de 2024, junto con CVE-2024-37080, otro desbordamiento de montón en la implementación del protocolo DCE/RPC que podría conducir a la ejecución remota de código. Los investigadores Hao Zheng y Zibo Li de la empresa china de ciberseguridad QiAnXin LegendSec fueron acreditados por descubrir e informar los problemas.
En una presentación en la conferencia de seguridad Black Hat Asia en abril de 2025, los investigadores dijeron que las dos fallas son parte de un conjunto de cuatro vulnerabilidades (tres desbordamientos de montón y una escalada de privilegios) descubiertas en el servicio DCE/RPC. Las otras dos fallas, CVE-2024-38812 y CVE-2024-38813, fueron parcheadas por Broadcom en septiembre de 2024.
En particular, descubrieron que una de las vulnerabilidades de desbordamiento de montón podría encadenarse con la vulnerabilidad de escalada de privilegios (CVE-2024-38813) para lograr acceso root remoto no autorizado y, finalmente, obtener control sobre ESXi.
Actualmente no se sabe cómo se está explotando CVE-2024-37079, si es obra de algún actor o grupo de amenazas conocido, o la escala de dichos ataques. Sin embargo, Broadcom ha actualizado su aviso para confirmar oficialmente el abuso de la vulnerabilidad en la naturaleza.
Broadcom tiene información que sugiere que la explotación de CVE-2024-37079 ha ocurrido en la naturaleza.
Debido a la explotación activa, las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben actualizar a la última versión antes del 13 de febrero de 2026 para una protección óptima.
