Критическая уязвимость VMware vCenter CVE-2024-37079 добавлена в каталог CISA KEV после активной эксплуатации
CISA включила критическую уязвимость CVE-2024-37079 в VMware vCenter в каталог KEV после подтвержденных атак. Узнайте о рисках и мерах защиты.
Критическая уязвимость VMware vCenter обнаружена в реальных атаках
Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость CVE-2024-37079 — критическую уязвимость переполнения кучи в Broadcom VMware vCenter Server — в свой каталог известных эксплуатируемых уязвимостей (KEV) после подтверждения её активной эксплуатации. Уязвимость, устранённая VMware в июне 2024 года, имеет оценку CVSS 9.8, что подчёркивает её высокую опасность.
Технические детали
CVE-2024-37079 — это уязвимость переполнения буфера в куче (heap-based buffer overflow) в VMware vCenter Server, централизованной платформе управления для сред VMware vSphere. Уязвимость возникает из-за неправильной проверки входных данных, что позволяет неаутентифицированным злоумышленникам выполнять произвольный код на уязвимых системах с повышенными привилегиями. Успешная эксплуатация может привести к полной компрометации системы, включая несанкционированный доступ к конфиденциальным данным, горизонтальное перемещение по сети и развёртывание дополнительных вредоносных payload.
VMware выпустила исправления для этой уязвимости в июне 2024 года в рамках бюллетеня безопасности VMSA-2024-0012. Затронутые версии включают:
- VMware vCenter Server 7.0 (все обновления до 7.0 U3r)
- VMware vCenter Server 8.0 (все обновления до 8.0 U2b)
Анализ последствий
Включение CVE-2024-37079 в каталог KEV CISA сигнализирует о высоком уровне угрозы для федеральных агентств и организаций частного сектора. В соответствии с Binding Operational Directive (BOD) 22-01, федеральные гражданские агентства США обязаны устранить уязвимость до 14 февраля 2025 года, чтобы предотвратить потенциальные инциденты. Однако CISA настоятельно рекомендует всем организациям, включая государственные и местные органы власти, а также объекты критической инфраструктуры, уделить первоочередное внимание установке исправлений из-за активной эксплуатации уязвимости.
Исследователи в области безопасности наблюдали, как злоумышленники используют эту уязвимость для:
- Получения первоначального доступа к корпоративным сетям
- Повышения привилегий до административного уровня
- Развёртывания программ-вымогателей, шпионского ПО или бэкдоров
- Эксфильтрации конфиденциальных данных
Рекомендации
Командам по информационной безопасности следует предпринять следующие шаги для снижения рисков:
- Немедленно установить исправления: Обновиться до последних версий VMware vCenter Server:
- 7.0 U3r или новее
- 8.0 U2b или новее
- Изолировать уязвимые системы: Если установка исправлений невозможна немедленно, ограничить сетевой доступ к экземплярам vCenter Server только доверенными IP-адресами.
- Мониторинг эксплуатации: Развернуть системы обнаружения и предотвращения вторжений (IDS/IPS) для выявления аномальной активности, такой как:
- Необычные попытки аутентификации
- Подозрительное выполнение процессов
- Неожиданные сетевые подключения
- Анализ логов: Провести аудит логов vCenter Server на предмет признаков компрометации, включая:
- Неудачные попытки входа в систему
- Несанкционированные изменения конфигурации
- Необычный исходящий трафик
- Следовать рекомендациям CISA: Ознакомиться с записью в каталоге KEV для получения дополнительных стратегий смягчения последствий и индикаторов компрометации (IOC).
Заключение
CVE-2024-37079 представляет собой критическую угрозу для организаций, использующих VMware vCenter Server для управления виртуализацией. Поскольку подтверждена активная эксплуатация уязвимости, командам по безопасности необходимо срочно установить исправления, организовать мониторинг вредоносной активности и укрепить защиту своих сред от потенциальных атак. Несвоевременное устранение уязвимости может привести к серьёзным операционным сбоям, утечкам данных или инцидентам с программами-вымогателями.