Falha Crítica no VMware vCenter CVE-2024-37079 Adicionada ao CISA KEV Após Exploração Ativa

Vulnerabilidade Crítica no VMware vCenter Explorada Ativamente

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou a CVE-2024-37079, uma vulnerabilidade crítica de heap overflow no Broadcom VMware vCenter Server, ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), após confirmação de exploração ativa. A falha, corrigida pela VMware em junho de 2024, possui uma pontuação CVSS de 9.8, destacando sua gravidade.

Detalhes Técnicos

A CVE-2024-37079 é uma vulnerabilidade de heap-based buffer overflow no VMware vCenter Server, uma plataforma centralizada de gerenciamento para ambientes VMware vSphere. A falha decorre de uma validação inadequada de entrada, permitindo que atacantes não autenticados executem código arbitrário em sistemas vulneráveis com privilégios elevados. A exploração bem-sucedida pode levar a:

• Comprometimento total do sistema;
• Acesso não autorizado a dados sensíveis;
• Movimentação lateral dentro de redes;
• Implantação de payloads maliciosos adicionais.

A VMware lançou patches para essa vulnerabilidade em junho de 2024, como parte do seu boletim de segurança VMSA-2024-0012. As versões afetadas incluem:

• VMware vCenter Server 7.0 (todas as atualizações anteriores à 7.0 U3r);
• VMware vCenter Server 8.0 (todas as atualizações anteriores à 8.0 U2b).

Análise de Impacto

A inclusão da CVE-2024-37079 no catálogo KEV da CISA sinaliza uma ameaça de alto risco para agências federais e organizações do setor privado. Sob a Diretiva Operacional Vinculante (BOD) 22-01, agências civis federais dos EUA são obrigadas a remediar a falha até 14 de fevereiro de 2025, para mitigar possíveis violações. No entanto, a CISA recomenda fortemente que todas as organizações, incluindo governos estaduais e locais e entidades de infraestrutura crítica, priorizem a aplicação dos patches devido à exploração ativa da vulnerabilidade.

Pesquisadores de segurança observaram agentes de ameaças explorando essa vulnerabilidade para:

• Obter acesso inicial a redes corporativas;
• Escalar privilégios para níveis administrativos;
• Implantar ransomware, spyware ou backdoors;
• Exfiltrar dados sensíveis.

Recomendações

As equipes de segurança devem seguir estas etapas para mitigar o risco:

1. Aplicar Patches Imediatamente: Atualizar para as versões mais recentes do VMware vCenter Server:
   • 7.0 U3r ou posterior;
   • 8.0 U2b ou posterior.
2. Isolar Sistemas Vulneráveis: Se a aplicação de patches não for imediatamente viável, restringir o acesso à rede das instâncias do vCenter Server apenas a endereços IP confiáveis.
3. Monitorar Exploração: Implementar sistemas de detecção/prevenção de intrusões (IDS/IPS) para identificar atividades anômalas, como:
   • Tentativas incomuns de autenticação;
   • Execução suspeita de processos;
   • Conexões de rede inesperadas.
4. Revisar Logs: Auditar os logs do vCenter Server em busca de sinais de comprometimento, incluindo:
   • Tentativas de login fracassadas;
   • Alterações não autorizadas de configuração;
   • Tráfego de saída incomum.
5. Seguir Orientação da CISA: Consultar a entrada do catálogo KEV da CISA para estratégias adicionais de mitigação e indicadores de comprometimento (IOCs).

Conclusão

A CVE-2024-37079 representa uma ameaça crítica para organizações que dependem do VMware vCenter Server para gerenciamento de virtualização. Com a exploração ativa confirmada, as equipes de segurança devem agir rapidamente para aplicar patches, monitorar atividades maliciosas e fortalecer seus ambientes contra possíveis ataques. A falha em remediar a vulnerabilidade pode resultar em graves interrupções operacionais, violações de dados ou incidentes de ransomware.