CISA alerta sobre vulnerabilidad crítica en VMware vCenter: CVE-2024-37079
Publicado el
La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha añadido una grave vulnerabilidad que afecta a Broadcom VMware vCenter Server a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta inclusión se debe a evidencias de explotación activa en entornos reales.
La vulnerabilidad, identificada como CVE-2024-37079, tiene un puntaje CVSS de 9.8, lo que la clasifica como crítica. Se trata de un desbordamiento de búfer en la implementación del protocolo DCE/RPC que puede permitir a un atacante con acceso a la red del servidor vCenter ejecutar código de forma remota al enviar un paquete de red especialmente diseñado.
Broadcom solucionó esta vulnerabilidad en junio de 2024, junto con CVE-2024-37080, que también es un desbordamiento de búfer en el mismo protocolo. Investigadores de la empresa de ciberseguridad china QiAnXin LegendSec, Hao Zheng y Zibo Li, fueron quienes descubrieron y reportaron estas fallas.
Durante una presentación en la conferencia de seguridad Black Hat Asia en abril de 2025, los investigadores señalaron que estas dos vulnerabilidades forman parte de un conjunto de cuatro fallas, que incluye tres desbordamientos de búfer y una escalada de privilegios. Las otras dos vulnerabilidades, CVE-2024-38812 y CVE-2024-38813, fueron corregidas por Broadcom en septiembre de 2024. En particular, se descubrió que uno de los desbordamientos de búfer podría combinarse con la vulnerabilidad de escalada de privilegios CVE-2024-38813, lo que permitiría el acceso no autorizado como root remoto y el control total sobre ESXi.
Aún se desconoce cómo se está explotando exactamente CVE-2024-37079, si es obra de algún actor o grupo de amenazas conocido, o la magnitud de los ataques. Sin embargo, Broadcom ha actualizado su aviso para confirmar oficialmente el abuso de la vulnerabilidad en entornos reales. "Broadcom tiene información que sugiere que se ha producido explotación de CVE-2024-37079 en el medio", afirmó la empresa en su comunicado.
Debido a la explotación activa, las agencias de la Federal Civilian Executive Branch (FCEB) están obligadas a actualizar a la última versión antes del 13 de febrero de 2026 para garantizar una protección óptima. Esta medida busca mitigar el riesgo que representa esta vulnerabilidad crítica en entornos empresariales.