VMware vCenter 严重漏洞 CVE-2024-37079 被 CISA KEV 收录并遭主动利用

VMware vCenter 严重漏洞遭到野外攻击利用

美国网络安全与基础设施安全局（CISA）已将 CVE-2024-37079（Broadcom VMware vCenter Server 中的严重堆溢出漏洞）添加至其已知被利用漏洞（KEV）目录，此举是在确认该漏洞遭到主动利用后做出的。该漏洞已由 VMware 于 2024 年 6 月 修补，其 CVSS 评分高达 9.8，凸显了其严重性。

技术细节

CVE-2024-37079 是 VMware vCenter Server（VMware vSphere 环境的集中管理平台）中的一个基于堆的缓冲区溢出漏洞。该漏洞源于输入验证不当，允许未经身份验证的攻击者在易受攻击的系统上以提升的权限执行任意代码。成功利用该漏洞可能导致 系统完全被入侵，包括未经授权访问敏感数据、在网络内横向移动以及部署额外的恶意负载。

VMware 已于 2024 年 6 月 在其安全公告 VMSA-2024-0012 中发布了该漏洞的补丁。受影响的版本包括：

• VMware vCenter Server 7.0（所有早于 7.0 U3r 的更新）
• VMware vCenter Server 8.0（所有早于 8.0 U2b 的更新）

影响分析

CVE-2024-37079 被纳入 CISA 的 KEV 目录，表明该漏洞对联邦机构和私营部门组织构成 高风险威胁。根据 强制操作指令（BOD）22-01，美国联邦民事机构需在 2025 年 2 月 14 日 前修复该漏洞，以减轻潜在的入侵风险。然而，CISA 强烈建议 所有组织，包括州及地方政府和关键基础设施实体，优先修补该漏洞，因其已遭到主动利用。

安全研究人员已观察到威胁行为者利用该漏洞进行以下攻击：

• 获取企业网络的 初始访问权限
• 将权限提升至 管理员级别
• 部署 勒索软件、间谍软件或后门
• 窃取敏感数据

缓解建议

安全团队应采取以下措施以降低风险：

1. 立即应用补丁：升级至 VMware vCenter Server 的最新版本：
   • 7.0 U3r 或更高版本
   • 8.0 U2b 或更高版本
2. 隔离易受攻击的系统：如无法立即修补，应限制仅允许受信任的 IP 地址访问 vCenter Server 实例。
3. 监控利用行为：部署入侵检测/防御系统（IDS/IPS）以检测异常活动，例如：
   • 异常的身份验证尝试
   • 可疑的进程执行
   • 意外的网络连接
4. 审查日志：审计 vCenter Server 日志以查找入侵迹象，包括：
   • 登录失败尝试
   • 未经授权的配置更改
   • 异常的出站流量
5. 遵循 CISA 指南：参阅 CISA 的 KEV 目录条目 以获取额外的缓解策略和入侵指标（IOCs）。

结论

CVE-2024-37079 对依赖 VMware vCenter Server 进行虚拟化管理的组织构成 严重威胁。由于已确认遭到主动利用，安全团队必须迅速采取行动，应用补丁、监控恶意活动并加固环境以防范潜在攻击。若未能及时修复，可能导致 严重的运营中断、数据泄露或勒索软件事件。