CISA cảnh báo lỗ hổng VMware vCenter bị khai thác, nguy cơ chiếm quyền ESXi

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
124
1.530 bài viết
CISA cảnh báo lỗ hổng VMware vCenter bị khai thác, nguy cơ chiếm quyền ESXi
WhiteHat Team
Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) vừa chính thức bổ sung một lỗ hổng nghiêm trọng ảnh hưởng tới VMware vCenter Server vào danh mục các lỗ hổng đang bị khai thác thực tế, sau khi ghi nhận bằng chứng cho thấy lỗ hổng này đã bị tấn công ngoài thực tế.
vmware.png

Lỗ hổng được nhắc tới là CVE-2024-37079, có điểm CVSS lên tới 9.8. Đây là lỗi tràn bộ nhớ heap trong quá trình triển khai giao thức DCE/RPC của VMware vCenter Server. Với quyền truy cập mạng tới hệ thống, kẻ tấn công có thể gửi các gói tin được thiết kế đặc biệt để thực thi mã từ xa, qua đó chiếm quyền điều khiển máy chủ vCenter.

CVE-2024-37079 đã được Broadcom vá từ tháng 6 năm 2024, cùng thời điểm với một lỗ hổng tương tự là CVE-2024-37080, cũng liên quan đến tràn bộ nhớ heap trong dịch vụ DCE/RPC và có khả năng dẫn tới thực thi mã từ xa. Hai lỗ hổng này được phát hiện và báo cáo bởi các nhà nghiên cứu Hao Zheng và Zibo Li thuộc công ty an ninh mạng Trung Quốc QiAnXin LegendSec.

Theo chia sẻ của nhóm nghiên cứu tại hội nghị Black Hat Asia diễn ra vào tháng 4 năm 2025, CVE-2024-37079 và CVE-2024-37080 chỉ là một phần trong chuỗi bốn lỗ hổng tồn tại trong dịch vụ DCE/RPC của VMware, bao gồm ba lỗi tràn bộ nhớ heap và một lỗ hổng leo thang đặc quyền. Hai lỗ hổng còn lại, CVE-2024-38812 và CVE-2024-38813, đã được Broadcom khắc phục trong bản vá phát hành vào tháng 9 năm 2024.

Đáng chú ý, các nhà nghiên cứu chỉ ra rằng một trong các lỗi tràn bộ nhớ heap có thể được kết hợp với lỗ hổng leo thang đặc quyền CVE-2024-38813 để giành quyền root từ xa mà không cần xác thực, từ đó kiểm soát hoàn toàn hệ thống ESXi phía sau vCenter. Điều này cho thấy mức độ nguy hiểm thực sự của chuỗi lỗ hổng, vượt xa phạm vi một máy chủ quản lý đơn lẻ.

Hiện tại, giới chuyên môn vẫn chưa xác định được chính xác cách thức CVE-2024-37079 đang bị khai thác, quy mô tấn công ra sao, cũng như liệu có nhóm tin tặc cụ thể nào đứng sau các hoạt động này hay không. Tuy nhiên, Broadcom đã cập nhật khuyến cáo bảo mật và lần đầu tiên xác nhận công khai rằng lỗ hổng này đã bị lạm dụng ngoài thực tế.

Broadcom cho biết họ có thông tin cho thấy việc khai thác CVE-2024-37079 đã xảy ra trong môi trường thực, qua đó củng cố thêm đánh giá rủi ro của CISA khi đưa lỗ hổng vào danh mục KEV. Động thái này đồng nghĩa với việc các cơ quan thuộc khối Hành pháp Dân sự Liên bang Mỹ bắt buộc phải triển khai bản vá và cập nhật lên phiên bản mới nhất trước ngày 13 tháng 2 năm 2026 nhằm đảm bảo an toàn hệ thống.

Việc CVE-2024-37079 bị đưa vào danh mục KEV cho thấy đây là lỗ hổng đã vượt khỏi phạm vi lý thuyết. Với vai trò trung tâm của vCenter trong quản trị ESXi, một điểm xâm nhập chưa được vá có thể nhanh chóng dẫn tới mất kiểm soát toàn bộ hạ tầng ảo hóa. Trong bối cảnh đã có khai thác ngoài thực tế, việc trì hoãn cập nhật bản vá không còn là rủi ro chấp nhận được, đặc biệt với các hệ thống còn phơi lộ dịch vụ quản trị ra Internet.
Theo The Hacker News
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • CISA cảnh báo lỗ hổng Zimbra ZCS đang bị khai thác thực tế
  • Router TP-Link dính lỗ hổng nghiêm trọng, CISA phát cảnh báo khẩn
  • CISA cảnh báo 2 lỗ hổng nguy hiểm trong kernel Linux đang bị khai thác thực tế
  • CISA cảnh báo việc khai thác lỗ hổng bảo mật trong Cisco Smart Licensing Utility
  • Bộ đôi lỗ hổng Zimbra và Microsoft "bị nhắc" trong cảnh báo của CISA
  • CISA cảnh báo về lỗ hổng CVE-2024-38856 trong Apache OFBiz
    • Thẻ
    cve-2024-37079 khai thác ngoài thực tế vmware vcenter
    Bên trên