Falla Crítica en VMware vCenter CVE-2024-37079 Añadida al Catálogo KEV de CISA Tras Explotación Activa

Vulnerabilidad Crítica en VMware vCenter Explotada en la Naturaleza

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha añadido CVE-2024-37079, una vulnerabilidad crítica de desbordamiento de heap en Broadcom VMware vCenter Server, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) tras confirmarse su explotación activa. La falla, parcheada por VMware en junio de 2024, tiene una puntuación CVSS de 9.8, lo que subraya su gravedad.

Detalles Técnicos

CVE-2024-37079 es una vulnerabilidad de desbordamiento de buffer basado en heap en VMware vCenter Server, una plataforma centralizada de gestión para entornos VMware vSphere. La falla surge debido a una validación incorrecta de entradas, lo que permite a atacantes no autenticados ejecutar código arbitrario en sistemas vulnerables con privilegios elevados. Una explotación exitosa podría llevar a un compromiso total del sistema, incluyendo acceso no autorizado a datos sensibles, movimiento lateral dentro de redes y despliegue de cargas maliciosas adicionales.

VMware lanzó parches para esta vulnerabilidad en junio de 2024 como parte de su aviso de seguridad VMSA-2024-0012. Las versiones afectadas incluyen:

• VMware vCenter Server 7.0 (todas las actualizaciones anteriores a 7.0 U3r)
• VMware vCenter Server 8.0 (todas las actualizaciones anteriores a 8.0 U2b)

Análisis de Impacto

La inclusión de CVE-2024-37079 en el catálogo KEV de CISA señala una amenaza de alto riesgo para agencias federales y organizaciones del sector privado. Bajo la Directiva Operativa Vinculante (BOD) 22-01, las agencias civiles federales de EE.UU. están obligadas a remediar la falla antes del 14 de febrero de 2025 para mitigar posibles brechas. Sin embargo, CISA insta a todas las organizaciones, incluyendo gobiernos estatales y locales, así como entidades de infraestructura crítica, a priorizar la aplicación de parches debido a la explotación activa de la vulnerabilidad.

Investigadores de seguridad han observado que actores de amenazas están aprovechando esta vulnerabilidad para:

• Obtener acceso inicial a redes empresariales
• Escalar privilegios a niveles administrativos
• Desplegar ransomware, spyware o backdoors
• Exfiltrar datos sensibles

Recomendaciones

Los equipos de seguridad deben tomar las siguientes medidas para mitigar el riesgo:

1. Aplicar Parches Inmediatamente: Actualizar a las últimas versiones de VMware vCenter Server:
   • 7.0 U3r o posterior
   • 8.0 U2b o posterior
2. Aislar Sistemas Vulnerables: Si la aplicación de parches no es factible de inmediato, restringir el acceso a la red de instancias de vCenter Server solo a direcciones IP de confianza.
3. Monitorear Explotación: Implementar sistemas de detección/prevención de intrusos (IDS/IPS) para detectar actividad anómala, como:
   • Intentos de autenticación inusuales
   • Ejecución de procesos sospechosos
   • Conexiones de red inesperadas
4. Revisar Registros: Auditar los registros de vCenter Server en busca de signos de compromiso, incluyendo:
   • Intentos fallidos de inicio de sesión
   • Cambios no autorizados en la configuración
   • Tráfico saliente inusual
5. Seguir la Guía de CISA: Consultar la entrada del catálogo KEV de CISA para estrategias adicionales de mitigación e indicadores de compromiso (IOCs).

Conclusión

CVE-2024-37079 representa una amenaza crítica para las organizaciones que dependen de VMware vCenter Server para la gestión de virtualización. Con la explotación activa confirmada, los equipos de seguridad deben actuar con rapidez para aplicar parches, monitorear actividad maliciosa y fortalecer sus entornos contra posibles ataques. La falta de remediación podría resultar en graves interrupciones operativas, brechas de datos o incidentes de ransomware.