Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Sáu đã bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Broadcom VMware vCenter Server, vốn đã được vá vào tháng 6 năm 2024, vào danh mục Các lỗ hổng đã bị khai thác (KEV) của mình, với lý do có bằng chứng về việc khai thác tích cực trong thực tế.
Lỗ hổng được đề cập là CVE-2024-37079 (điểm CVSS: 9.8), liên quan đến một heap overflow trong việc triển khai giao thức DCE/RPC mà một tác nhân độc hại có quyền truy cập mạng vào vCenter Server có thể lợi dụng để thực thi mã từ xa bằng cách gửi một gói mạng được tạo đặc biệt.
Broadcom đã khắc phục lỗ hổng này vào tháng 6 năm 2024, cùng với CVE-2024-37080, một heap overflow khác trong việc triển khai giao thức DCE/RPC cũng có thể dẫn đến thực thi mã từ xa. Các nhà nghiên cứu Hao Zheng và Zibo Li từ công ty an ninh mạng Trung Quốc QiAnXin LegendSec đã được ghi nhận đã phát hiện và báo cáo các vấn đề này.
Trong một bài thuyết trình tại hội nghị bảo mật Black Hat Asia vào tháng 4 năm 2025, các nhà nghiên cứu cho biết hai lỗ hổng này là một phần của một bộ bốn lỗ hổng – ba heap overflow và một privilege escalation – được phát hiện trong dịch vụ DCE/RPC. Hai lỗ hổng còn lại, CVE-2024-38812 và CVE-2024-38813, đã được Broadcom vá vào tháng 9 năm 2024.
Đặc biệt, họ phát hiện ra rằng một trong các lỗ hổng heap overflow có thể được xâu chuỗi với lỗ hổng privilege escalation (CVE-2024-38813) để đạt được quyền truy cập root từ xa trái phép và cuối cùng giành quyền kiểm soát ESXi.
Hiện tại, vẫn chưa rõ CVE-2024-37079 đang bị khai thác như thế nào, liệu đó có phải là công việc của bất kỳ tác nhân đe dọa hoặc nhóm nào đã biết, hay quy mô của các cuộc tấn công đó. Tuy nhiên, Broadcom kể từ đó đã cập nhật khuyến nghị của mình để chính thức xác nhận việc lỗ hổng này bị lạm dụng trong thực tế.
Broadcom cho biết trong bản cập nhật của mình: "Broadcom có thông tin cho thấy việc khai thác CVE-2024-37079 đã xảy ra trong thực tế".
Trước tình hình khai thác tích cực, các cơ quan của ngành Hành pháp Dân sự Liên bang (FCEB) được yêu cầu cập nhật lên phiên bản mới nhất trước ngày 13 tháng 2 năm 2026 để được bảo vệ tối ưu.
