VMware vCenter Server严重漏洞遭野外攻击，补丁发布一年多仍有企业未修复

保持软件更新至关重要。一些未知攻击者正在利用VMware vCenter Server的一个严重漏洞，而Broadcom早在一年多前就已经修复了这个缺陷。

该漏洞被追踪为CVE-2024-37079，是vCenter Server在实现DCERPC协议时出现的越界写入缺陷，CVSS评分高达9.8分（满分10分）。换句话说：这几乎是最严重的等级。

DCERPC全称为分布式计算环境/远程过程调用，允许软件通过网络在远程系统上调用程序和服务。攻击者可以利用这个漏洞，通过网络访问vCenter Server发送特制的网络数据包，可能导致远程代码执行。周五，供应商和联邦机构都警告称，这种攻击正在发生。

"Broadcom掌握的信息表明，CVE-2024-37079已在野外遭到利用，"供应商在2024年6月18日安全公告的更新中警告道。

同样在周五，美国网络安全和基础设施安全局（CISA）将这个严重安全漏洞添加到已知被利用漏洞（KEV）目录中。这意味着联邦机构必须在2月13日之前修补该缺陷。我们必须再次指出，Broadcom早在一年半前就发布了修复该CVE的软件更新，2024年6月本应是部署补丁的最佳时机。

CISA的KEV列表将该漏洞在勒索软件活动中的使用标记为"未知"，Broadcom也没有提供关于利用范围的任何详细信息，也未回应The Register关于CVE-2024-37079滥用情况的询问。随着我们了解更多关于谁在滥用这个缺陷以及他们如何利用对企业vCenter Server的非法访问权限，我们将更新这个报道。

VulnCheck安全研究副总裁凯特琳·康登告诉The Register，虚拟化基础设施（包括Broadcom的vCenter Server）是政府支持的黑客和经济动机网络犯罪分子的首选目标。

"例如，CVE-2023-34048是vCenter Server DCERPC协议中的一个先前漏洞，被至少三个已知的中国相关威胁行为者（Fire Ant、Warp Panda和UNC3886）利用，"康登说。

康登表示，考虑到该漏洞的详细信息已经公开一年多，她对攻击者利用这个漏洞并不感到意外。

"威胁行为者（包括国家支持的组织）机会主义地利用甚至更旧的公开漏洞信息进行新攻击是很常见的，所以这个漏洞在野外遭到利用并不太令人惊讶，"她说。

"虽然目前没有关于威胁行为者归属或攻击者行为的直接详细信息，但vCenter Server绝不应该暴露在公共互联网上，所以攻击者很可能已经在受害者环境中获得了立足点，"康登补充道。

Q&A

Q1：CVE-2024-37079漏洞有多严重？

A：CVE-2024-37079是VMware vCenter Server中的一个越界写入缺陷，CVSS评分高达9.8分（满分10分），属于最严重等级。攻击者可以利用该漏洞通过网络发送特制数据包，可能导致远程代码执行。

Q2：为什么一个已经修复的漏洞还会被攻击？

A：虽然Broadcom在一年半前就发布了修复补丁，但许多企业和组织仍未及时更新软件。威胁行为者经常机会主义地利用公开的漏洞信息进行攻击，即使是较旧的漏洞也会被持续利用。

Q3：vCenter Server为什么容易成为攻击目标？

A：vCenter Server作为虚拟化基础设施的核心组件，是政府支持的黑客和网络犯罪分子的首选目标。一旦被攻破，攻击者就能获得对整个虚拟化环境的控制权，影响范围极大，因此具有很高的攻击价值。