cve-2024-37079 - RunkIntel

# CVE-2024-37079 - Heap Overflow RCE no VMware vCenter Server (DCERPC) > [!critical] > Vulnerabilidade crítica de heap overflow no protocolo DCERPC do VMware vCenter Server permite execução remota de código sem autenticação. CVSS 9.8, exploração ativa confirmada pela Broadcom. Patch disponível desde junho de 2024 - atualização imediata obrigatória. ## Visão Geral O CVE-2024-37079 é uma vulnerabilidade de heap overflow na implementação do protocolo DCE/RPC (Distributed Computing Environment/Remote Procedure Call) no [[_vmware|VMware vCenter Server]]. Um ator malicioso com acesso de rede ao vCenter Server pode explorar a falha enviando pacotes de rede especialmente criados, potencialmente levando à execução remota de código (RCE) sem necessidade de autenticação ou interação do usuário. O [[_vmware|vCenter Server]] é a plataforma de gerenciamento centralizado para ambientes [[_vmware|VMware]] vSphere, controlando hypervisors ESXi, máquinas virtuais e toda a infraestrutura de virtualização corporativa. O comprometimento do vCenter representa acesso ao "plano de controle" de toda a infraestrutura virtualizada: um atacante que explora esta falha com sucesso pode manipular configurações de VMs, acessar credenciais armazenadas, implantar backdoors em múltiplos hypervisors e pivotar para sistemas críticos gerenciados pela plataforma. A vulnerabilidade foi descoberta pelos pesquisadores Hao Zheng e Zibo Li do TianGong Team da Legendsec (QiAnXin Group), que identificaram um conjunto de quatro falhas no serviço DCE/RPC: três heap overflows (CVE-2024-37079, CVE-2024-37080, CVE-2024-38812) e uma escalada de privilégios (CVE-2024-38813). Em abril de 2025, os pesquisadores apresentaram no Black Hat Asia como CVE-2024-37079 pode ser encadeado com CVE-2024-38813 para obter acesso root remoto não autorizado ao ESXi. A [[_broadcom|Broadcom]] confirmou exploração ativa em janeiro de 2026, levando à adição ao catálogo CISA KEV. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|-------------------|-----------------| | VMware vCenter Server 8.0 | < 8.0 U2d | 8.0 U2d | | VMware vCenter Server 8.0 U1 | < 8.0 U1e | 8.0 U1e | | VMware vCenter Server 7.0 | < 7.0 U3r | 7.0 U3r | | VMware Cloud Foundation 5.x | Todas | KB88287 | | VMware Cloud Foundation 4.x | Todas | KB88287 | ## Detalhes Técnicos O DCE/RPC é usado pelo vCenter Server para comunicação inter-processos internos, incluindo serviços de gerenciamento de certificados, serviços de diretório e autenticação. A vulnerabilidade ocorre quando o sistema processa pacotes de rede malformados, causando corrupção de memória na heap que pode ser aproveitada para execução de código. **Vetor de ataque:** Rede (remoto, sem autenticação, sem interação de usuário) **Portas relevantes:** TCP 2012, 2014, 2020 (serviços DCERPC do vCenter) **CVSS 3.1:** 9.8 Critical **Encadeamento de vulnerabilidades descoberto pelos pesquisadores:** - CVE-2024-37079 (heap overflow) + CVE-2024-38813 (privilege escalation) = acesso root remoto não autorizado ao ESXi ``` graph TB A["Atacante na Rede<br/>Pacote DCERPC Malformado"] --> B["CVE-2024-37079<br/>Heap Overflow no vCenter"] B --> C["RCE no vCenter Server<br/>Controle do Plano de Gerenciamento"] C --> D["Pivô para ESXi Hosts<br/>Acesso a todas as VMs"] ``` ## Mitigação 1. **Atualizar imediatamente** - Aplicar patches conforme a Response Matrix da VMSA-2024-0012.1: - vCenter Server 8.0: atualizar para 8.0 U2d ou 8.0 U1e - vCenter Server 7.0: atualizar para 7.0 U3r - Cloud Foundation: aplicar KB88287 2. **Segmentação de rede** - Isolar interfaces de gerenciamento do vCenter de redes não confiáveis 3. **Bloqueio de firewall** - Filtrar tráfego DCERPC nas portas TCP 2012, 2014 e 2020 nas bordas de rede 4. **Monitoramento** - Buscar tráfego DCERPC anômalo com cabeçalhos de tamanho incomum ou chamadas RPC malformadas repetidas 5. **Threat hunting** - Revisar logs dos últimos 90 dias para conexões suspeitas às portas de gerenciamento > [!latam] > O VMware vCenter Server é amplamente utilizado por empresas, bancos, telecomúnicações e governo no Brasil e LATAM. Ambientes de datacenter corporativos e provedores de nuvem privada são particularmente expostos. Um atacante que comprometa o vCenter de uma organização pode afetar toda a infraestrutura virtualizada. Organizações no setor financeiro brasileiro com ambientes VMware devem priorizar esta atualização como medida urgente, especialmente dado o histórico de ataques a infraestruturas de virtualização na região por grupos como APT41. ## Notas Relacionadas **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Mitigações:** [[m1051-update-software|M1051 - Atualização de Software]] · [[m1030-network-segmentation|M1030 - Segmentação de Rede]] **Setores em risco:** [[technology]] · [[critical-infrastructure]] **Vendor:** [[_vmware|VMware]] · [[_broadcom|Broadcom]] ## Referências - [Broadcom Advisory VMSA-2024-0012.1](https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/securityadvisories/0/24453) - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2024-37079) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [The Hacker News](https://thehackernews.com/2026/01/cisa-adds-actively-exploited-vmware.html) - [Security Affairs](https://securityaffairs.com/187267/security/u-s-cisa-adds-a-flaw-in-broadcom-vmware-vcenter-server-to-its-known-exploited-vulnerabilities-catalog.html) - [SentinelOne DB](https://www.sentinelone.com/vulnerability-database/CVE-2024-37079/)