Агентство кибербезопасности и защиты инфраструктуры США (CISA) в пятницу добавило критическую брешь в безопасности продукта Broadcom VMware vCenter Server в свой каталог известных эксплуатируемых уязвимостей (KEV). Решение было принято на основании доказательств активной эксплуатации данной проблемы в реальных условиях. Это действие подчеркивает серьезность угрозы для организаций, использующих данное программное обеспечение в своей инфраструктуре.
Основная уязвимость получила идентификатор CVE-2024-37079 и наивысший балл серьезности по шкале CVSS — 9.8 (критический). Техническая проблема заключается в переполнении кучи (heap overflow) при реализации протокола DCE/RPC. Злоумышленник, имеющий сетевой доступ, может отправить специально сформированный сетевой пакет, что приведет к удаленному выполнению кода (RCE). Компания Broadcom устранила эту проблему в обновлении, выпущенном в июне 2024 года.
Broadcom официально обновила свой бюллетень безопасности, подтвердив факты злоупотребления уязвимостью. В заявлении компании говорится: «Broadcom располагает информацией, позволяющей предположить, что эксплуатация CVE-2024-37079 происходила в реальных условиях». На данный момент конкретные методы атак, личность угрожающих субъектов или хакерских групп, а также масштабы инцидентов остаются неизвестными.
Первооткрывателями данной проблемы стали исследователи Хао Чжэн и Зибо Ли из китайской компании по кибербезопасности QiAnXin LegendSec. Они представили свои выводы на конференции по безопасности Black Hat Asia, которая состоялась в апреле 2025 года. В ходе своего исследования эксперты выявили в общей сложности четыре уязвимости в службе DCE/RPC: три случая переполнения кучи и один случай повышения привилегий.
Исследование выявило и другие недостатки, связанные со службой DCE/RPC, включая уязвимость CVE-2024-37080. Это также ошибка переполнения кучи, допускающая удаленное выполнение кода (RCE). Патч для устранения этой угрозы был выпущен Broadcom одновременно с исправлением для основной уязвимости в июне 2024 года.
Кроме того, исследователи обнаружили возможности для создания цепочек атак с использованием уязвимостей CVE-2024-38812 и CVE-2024-38813, исправления для которых вышли в сентябре 2024 года. Эксперты установили, что переполнение кучи может быть связано с CVE-2024-38813 (повышение привилегий). Такая цепочка позволяет злоумышленникам получить несанкционированный удаленный root-доступ и полный контроль над гипервизором ESXi.
В связи с включением уязвимости в каталог KEV, Федеральные гражданские органы исполнительной власти (FCEB) обязаны принять меры по защите своих систем. Согласно директиве, агентства должны обновить программное обеспечение до последней версии для обеспечения оптимальной защиты. Установленный срок выполнения данного требования — 13 февраля 2026 года.
Изображение носит иллюстративный характер
Основная уязвимость получила идентификатор CVE-2024-37079 и наивысший балл серьезности по шкале CVSS — 9.8 (критический). Техническая проблема заключается в переполнении кучи (heap overflow) при реализации протокола DCE/RPC. Злоумышленник, имеющий сетевой доступ, может отправить специально сформированный сетевой пакет, что приведет к удаленному выполнению кода (RCE). Компания Broadcom устранила эту проблему в обновлении, выпущенном в июне 2024 года.
Broadcom официально обновила свой бюллетень безопасности, подтвердив факты злоупотребления уязвимостью. В заявлении компании говорится: «Broadcom располагает информацией, позволяющей предположить, что эксплуатация CVE-2024-37079 происходила в реальных условиях». На данный момент конкретные методы атак, личность угрожающих субъектов или хакерских групп, а также масштабы инцидентов остаются неизвестными.
Первооткрывателями данной проблемы стали исследователи Хао Чжэн и Зибо Ли из китайской компании по кибербезопасности QiAnXin LegendSec. Они представили свои выводы на конференции по безопасности Black Hat Asia, которая состоялась в апреле 2025 года. В ходе своего исследования эксперты выявили в общей сложности четыре уязвимости в службе DCE/RPC: три случая переполнения кучи и один случай повышения привилегий.
Исследование выявило и другие недостатки, связанные со службой DCE/RPC, включая уязвимость CVE-2024-37080. Это также ошибка переполнения кучи, допускающая удаленное выполнение кода (RCE). Патч для устранения этой угрозы был выпущен Broadcom одновременно с исправлением для основной уязвимости в июне 2024 года.
Кроме того, исследователи обнаружили возможности для создания цепочек атак с использованием уязвимостей CVE-2024-38812 и CVE-2024-38813, исправления для которых вышли в сентябре 2024 года. Эксперты установили, что переполнение кучи может быть связано с CVE-2024-38813 (повышение привилегий). Такая цепочка позволяет злоумышленникам получить несанкционированный удаленный root-доступ и полный контроль над гипервизором ESXi.
В связи с включением уязвимости в каталог KEV, Федеральные гражданские органы исполнительной власти (FCEB) обязаны принять меры по защите своих систем. Согласно директиве, агентства должны обновить программное обеспечение до последней версии для обеспечения оптимальной защиты. Установленный срок выполнения данного требования — 13 февраля 2026 года.
