Kritische VMware vCenter-Schwachstelle CVE-2024-37079 nach aktiver Ausnutzung in CISA KEV aufgenommen

Kritische VMware vCenter-Schwachstelle in freier Wildbahn ausgenutzt

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2024-37079, eine kritische Heap-Overflow-Schwachstelle in Broadcom VMware vCenter Server, in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen, nachdem eine aktive Ausnutzung bestätigt wurde. Die Schwachstelle, die von VMware im Juni 2024 gepatcht wurde, weist einen CVSS-Score von 9,8 auf und unterstreicht damit ihre hohe Gefährlichkeit.

Technische Details

CVE-2024-37079 ist eine Heap-basierte Pufferüberlauf-Schwachstelle in VMware vCenter Server, einer zentralen Verwaltungsplattform für VMware vSphere-Umgebungen. Die Schwachstelle entsteht durch eine unzureichende Eingabevalidierung, die es unauthentifizierten Angreifern ermöglicht, beliebigen Code auf verwundbaren Systemen mit erhöhten Privilegien auszuführen. Eine erfolgreiche Ausnutzung könnte zu einer vollständigen Systemkompromittierung führen, einschließlich unbefugtem Zugriff auf sensible Daten, lateraler Bewegung innerhalb von Netzwerken und der Bereitstellung zusätzlicher schädlicher Payloads.

VMware veröffentlichte Patches für diese Schwachstelle im Juni 2024 als Teil des Sicherheitshinweises VMSA-2024-0012. Die betroffenen Versionen umfassen:

• VMware vCenter Server 7.0 (alle Updates vor 7.0 U3r)
• VMware vCenter Server 8.0 (alle Updates vor 8.0 U2b)

Auswirkungen

Die Aufnahme von CVE-2024-37079 in den KEV-Katalog der CISA signalisiert eine hochriskante Bedrohung für Bundesbehörden und private Organisationen. Gemäß der Binding Operational Directive (BOD) 22-01 sind US-Bundesbehörden verpflichtet, die Schwachstelle bis zum 14. Februar 2025 zu beheben, um potenzielle Sicherheitsverletzungen zu verhindern. Die CISA empfiehlt jedoch allen Organisationen, einschließlich staatlicher und lokaler Behörden sowie Betreibern kritischer Infrastrukturen, die Patch-Verteilung aufgrund der aktiven Ausnutzung prioritär zu behandeln.

Sicherheitsforscher haben beobachtet, dass Bedrohungsakteure diese Schwachstelle ausnutzen, um:

• Initialen Zugriff auf Unternehmensnetzwerke zu erlangen
• Privilegien auf Administrator-Ebene zu eskalieren
• Ransomware, Spyware oder Backdoors einzusetzen
• Sensible Daten zu exfiltrieren

Empfehlungen

Sicherheitsteams sollten folgende Maßnahmen ergreifen, um das Risiko zu minimieren:

1. Patches sofort anwenden: Aktualisieren Sie auf die neuesten Versionen von VMware vCenter Server:

   • 7.0 U3r oder höher
   • 8.0 U2b oder höher

2. Verwundbare Systeme isolieren: Falls ein Patch nicht sofort möglich ist, beschränken Sie den Netzwerkzugriff auf vCenter Server-Instanzen auf vertrauenswürdige IP-Adressen.

3. Überwachung auf Ausnutzung: Setzen Sie Intrusion Detection/Prevention-Systeme (IDS/IPS) ein, um ungewöhnliche Aktivitäten zu erkennen, wie z. B.:

   • Ungewöhnliche Authentifizierungsversuche
   • Verdächtige Prozessausführungen
   • Unerwartete Netzwerkverbindungen

4. Protokolle überprüfen: Überprüfen Sie die vCenter Server-Protokolle auf Anzeichen einer Kompromittierung, einschließlich:

   • Fehlgeschlagene Anmeldeversuche
   • Unautorisierte Konfigurationsänderungen
   • Ungewöhnlicher ausgehender Datenverkehr

5. CISA-Richtlinien befolgen: Konsultieren Sie den KEV-Katalog-Eintrag der CISA für zusätzliche Abhilfestrategien und Indikatoren für Kompromittierungen (IOCs).

Fazit

CVE-2024-37079 stellt eine kritische Bedrohung für Organisationen dar, die VMware vCenter Server für das Virtualisierungsmanagement nutzen. Da eine aktive Ausnutzung bestätigt wurde, müssen Sicherheitsteams schnell handeln, um Patches anzuwenden, nach böswilligen Aktivitäten zu überwachen und ihre Umgebungen gegen potenzielle Angriffe zu härten. Eine unterlassene Behebung könnte zu schwerwiegenden Betriebsstörungen, Datenlecks oder Ransomware-Vorfällen führen.