VMware vCenter 严重 RCE 漏洞遭主动利用，CISA 发布警告

VMware vCenter 严重 RCE 漏洞遭主动利用，CISA 发布警报

美国网络安全与基础设施安全局（CISA）已将 VMware vCenter Server 中的一个严重远程代码执行（RCE）漏洞添加至其《已知被利用漏洞（KEV）目录》，证实该漏洞正遭到主动利用。根据 《强制性操作指令（BOD）22-01》，联邦机构必须在 21 天内（即 2024 年 8 月 20 日前）完成系统加固。

CVE-2024-37079 技术细节

该漏洞编号为 CVE-2024-37079（CVSS 评分待公布），影响 VMware vCenter Server——一个用于虚拟化环境的集中管理平台。尽管 VMware 尚未公开完整技术细节，但该漏洞被归类为 RCE 漏洞，允许未经身份验证的攻击者在易受攻击的系统上执行任意代码。其他详情包括：

• 受影响版本：VMware vCenter Server 7.0 和 8.0（具体补丁版本尚未公布）。
• 攻击向量：漏洞利用可能通过访问 vCenter Server 管理界面实现。
• 缓解措施：VMware 已发布补丁，建议立即更新。

影响与威胁态势

vCenter Server 是威胁行为者的高价值目标，因其负责管理虚拟化基础设施，包括 ESXi 主机、虚拟机（VM）以及存储/网络资源。成功利用 CVE-2024-37079 可能导致：

• vCenter Server 实例的完全系统入侵。
• 通过横向移动攻击连接的 ESXi 主机和虚拟机。
• 企业环境中的数据泄露或勒索软件部署。

CISA 将该漏洞纳入 KEV 目录凸显了其紧迫性，因主动利用表明威胁行为者——可能包括高级持续性威胁（APT）组织或勒索软件运营者——已开始利用该漏洞。

安全团队建议

1. 立即修补：毫不延迟地应用 VMware 为 vCenter Server 发布的安全更新。
2. 网络隔离：将 vCenter Server 实例与不可信网络隔离，限制暴露风险。
3. 监控：部署**入侵检测/防御系统（IDS/IPS）**以检测利用尝试。
4. 访问控制：仅限授权人员访问 vCenter Server 管理权限。
5. 备份关键系统：确保虚拟化基础设施的离线备份可用于恢复。

对于联邦机构，遵守 CISA 指令是强制性要求。私营部门组织也应优先修补，因已证实该漏洞正遭到野外利用。

原文报道由 Sergiu Gatlan 为 BleepingComputer 撰写。