La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una equivocación de seguridad crítica que afecta a Broadcom VMware vCenter Server y que fue parcheada en junio de 2024 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2024-37079 (Puntuación CVSS: 9,8), que se refiere a un desbordamiento del montón en la implementación del protocolo DCE/RPC que podría permitir que un mal actor con comunicación a la red de vCenter Server logre la ejecución remota de código enviando un paquete de red especialmente diseñado.
Broadcom lo resolvió en junio de 2024, adyacente con CVE-2024-37080, otro desbordamiento de montón en la implementación del protocolo DCE/RPC que podría conducir a la ejecución remota de código. A los investigadores de la empresa china de ciberseguridad QiAnXin LegendSec, Hao Zheng y Zibo Li, se les atribuyó el mérito de descubrir e informar los problemas.
En una presentación en la conferencia de seguridad Black Hat Asia en abril de 2025, los investigadores dijeron que las dos fallas son parte de un conjunto de cuatro vulnerabilidades (tres desbordamientos de montón y una subida de privilegios) que se descubrieron en el servicio DCE/RPC. Broadcom solucionó los otros dos fallos, CVE-2024-38812 y CVE-2024-38813, en septiembre de 2024.
En particular, descubrieron que una de las vulnerabilidades de desbordamiento del montón podría encadenarse con la vulnerabilidad de subida de privilegios (CVE-2024-38813) para conseguir comunicación raíz remoto no competente y, en última instancia, obtener control sobre ESXi.
Actualmente no se sabe cómo se está explotando CVE-2024-37079, si es obra de algún actor o corro de amenazas conocido, o la escalera de dichos ataques. Sin incautación, desde entonces Broadcom ha actualizado su aviso para confirmar oficialmente el alcaldada de la vulnerabilidad.
“Broadcom tiene información que sugiere que la explotación de CVE-2024-37079 ha ocurrido en estado salvaje”, dijo la compañía en su aggiornamento.
A la luz de la explotación activa, las agencias del Poder Ejecutante Civil Federal (FCEB) deben poner al día a la última interpretación antaño del 13 de febrero de 2026 para una protección óptima.
