La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una falla de seguridad crítica que afecta a Broadcom VMware vCenter Server parcheada en junio de 2024 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación en el mundo real.
La vulnerabilidad en cuestión es CVE-2024-37079 (puntuación CVSS: 9,8). Esto se refiere a un desbordamiento del montón en la implementación del protocolo DCE/RPC que podría permitir que un atacante malintencionado con acceso a la red de vCenter Server ejecute código remoto mediante el envío de paquetes de red especialmente diseñados.
Broadcom resolvió este problema en junio de 2024 junto con CVE-2024-37080, otro desbordamiento del montón en la implementación del protocolo DCE/RPC que podría conducir a la ejecución remota de código. A los investigadores Hao Zheng y Zibo Li de la empresa china de ciberseguridad QiAnXin LegendSec se les atribuye el mérito de descubrir e informar el problema.
En una presentación en la conferencia de seguridad Black Hat Asia en abril de 2025, los investigadores dijeron que las dos fallas son parte de un conjunto de cuatro vulnerabilidades (tres desbordamientos de montón y una escalada de privilegios) descubiertas en los servicios DCE/RPC. Broadcom corrigió otras dos fallas, CVE-2024-38812 y CVE-2024-38813, en septiembre de 2024.
En particular, se descubrió que una de las vulnerabilidades de desbordamiento del montón podría encadenarse con una vulnerabilidad de elevación de privilegios (CVE-2024-38813) para permitir el acceso raíz remoto no autorizado y, en última instancia, el control de ESXi.
Actualmente se desconoce cómo se está explotando CVE-2024-37079, si es obra de atacantes o grupos conocidos y la escala de dichos ataques. Sin embargo, Broadcom actualizó su aviso y confirmó oficialmente que esta vulnerabilidad efectivamente ha sido explotada.
«Broadcom ha recibido información que sugiere que la explotación de CVE-2024-37079 ha ocurrido en estado salvaje», dijo la compañía en una actualización.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben actualizar a la última versión antes del 13 de febrero de 2026 para una protección óptima.
Source link
