Falha crítica da VMware identificada em 2024 explorada ativamente

Uma vulnerabilidade crítica no VMware vCenter Server, identificada em 2024, passou a estar no radar dos atacantes e já está a ser explorada ativamente, segundo alertas recentes da agência norte-americana de cibersegurança CISA e da Broadcom, atual proprietária da VMware.

A falha, registada como CVE-2024-37079 e com uma pontuação CVSS de 9,8, corresponde a um problema de escrita fora dos limites (out-of-bounds write) na implementação do protocolo Distributed Computing Environment/Remote Procedure Calls (DCERPC) do vCenter Server. O erro resulta de uma validação incorreta de limites durante o processamento de pacotes de rede, podendo provocar um overflow de memória heap e permitir a execução remota de código.

De acordo com as autoridades, a vulnerabilidade pode ser explorada remotamente por atacantes que tenham acesso ao vCenter Server, através do envio de pacotes de rede especialmente concebidos para o efeito.

Na passada sexta-feira, a CISA adicionou o CVE-2024-37079 ao seu catálogo de Known Exploited Vulnerabilities (KEV), confirmando que a falha está a ser explorada ativamente. No mesmo dia, a Broadcom atualizou o aviso de segurança inicialmente publicado em junho de 2024, altura em que foram disponibilizadas as correções, para incluir uma nota a confirmar a exploração ativa da vulnerabilidade.

“Temos informação que sugere que a exploração do CVE-2024-37079 ocorreu no terreno”, refere a nota da Broadcom. Com a inclusão no catálogo KEV, as agências federais dos Estados Unidos dispõem agora de um prazo de três semanas para identificar e corrigir implementações vulneráveis do vCenter Server nos seus ambientes.

As autoridades recomendam ainda que todas as organizações, independentemente do setor, consultem regularmente o catálogo KEV da CISA e apliquem de imediato as atualizações e medidas de mitigação disponíveis para as vulnerabilidades listadas, de forma a reduzir o risco de exploração ativa.