CVE-2024-37079
Broadcom VMware vCenter Server
2026-01-23
Broadcom VMware vCenter Server contains an out-of-bounds write vulnerability in the implementation of the DCERPC protocol. This could allow a malicious actor with network access to vCenter Server to send specially crafted network packets, potentially leading to remote code execution.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2024-37079 (CVSS: 9.8 Critical) представляет собой ошибку записи за пределы выделенного буфера (Out-of-Bounds Write) в реализации протокола DCERPC (Distributed Computing Environment / Remote Procedure Calls) внутри VMware vCenter Server. Злоумышленник, имеющий базовый сетевой доступ к vCenter Server, может отправить специально сформированные сетевые пакеты к уязвимому сервису. Успешная эксплуатация приводит к повреждению памяти и позволяет атакующему выполнить произвольный код (Remote Code Execution) на сервере с максимальными привилегиями. Уязвимость не требует аутентификации или взаимодействия с пользователем, что делает ее эксплуатацию тривиальной и крайне опасной для всей виртуальной инфраструктуры.
Как исправить
Единственным гарантированным способом устранения данной уязвимости является установка официальных патчей от вендора (Broadcom/VMware). Определите вашу текущую мажорную версию и обновите vCenter Server до безопасного релиза: Для vCenter Server 8.0 установите обновление 8.0 U2d или 8.0 U1e. Для vCenter Server 7.0 установите обновление 7.0 U3r. Для VMware Cloud Foundation (VCF) версий 4.x и 5.x примените соответствующие асинхронные патчи согласно официальной документации. Перед началом работ обязательно создайте offline-снапшот (в выключенном состоянии или без сохранения состояния памяти) виртуальной машины vCenter Server. Для проверки текущей версии vCenter Server подключитесь по SSH и выполните:
vpxd -v
Для установки доступных обновлений через интерфейс командной строки (Appliance Shell) выполните:
software-packages install --url --acceptEulas
Временные меры
Официальных обходных путей (workarounds) на уровне изменения конфигурации самого vCenter Server для данной уязвимости не существует. В качестве компенсирующей меры необходимо максимально жестко ограничить сетевой доступ к vCenter Server (Network Isolation). Убедитесь, что vCenter Server находится в выделенном изолированном сегменте сети (Management VLAN). Настройте корпоративный межсетевой экран (Firewall) так, чтобы доступ к портам управления vCenter (включая 443, 2012, 2014, 2020) был разрешен исключительно с доверенных IP-адресов (Jump Hosts, PAW — Privileged Access Workstations). Настройте встроенный брандмауэр vCenter (через интерфейс VAMI на порту 5480), оставив правило "Allow" только для подсетей администраторов, а для остальных установив "Drop". Для мониторинга аномальных обращений к портам, использующим DCERPC, можно запустить анализ трафика на самом vCenter Server:
tcpdump -i eth0 port 2012 or port 2014 or port 2020 -n