Resumen técnico: CVE-2024-37079 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a VMware vCenter Server. El fallo reside en la implementación del protocolo DCERPC y permite que un atacante con acceso de red al servicio ejecute código arbitrario en el appliance de vCenter.

La vulnerabilidad fue incorporada al catálogo de vulnerabilidades explotadas activamente (KEV), lo que indica que ya está siendo utilizada en ataques reales.

1) Identificación de la vulnerabilidad

CVE: CVE-2024-37079

Advisory oficial: VMSA-2024-0012 (VMware by Broadcom)

Severidad: Crítica (CVSS máximo reportado: 9.8)

Vector: Red

Autenticación requerida: No

2) Descripción técnica del problema

La vulnerabilidad corresponde a un error de manejo de memoria (out-of-bounds write / heap overflow) en la implementación de DCERPC utilizada por vCenter Server. Mediante el envío de paquetes especialmente construidos, un atacante puede corromper memoria y lograr ejecución remota de código con privilegios elevados dentro del appliance.

El ataque no requiere credenciales válidas, solo conectividad de red hacia los servicios expuestos de vCenter.

3) Impacto operativo

vCenter Server es el plano de control de la infraestructura virtualizada. Un compromiso exitoso permite al atacante:

  • Manipular inventario de máquinas virtuales
  • Crear, modificar o eliminar VMs
  • Acceder a discos virtuales y snapshots
  • Modificar configuraciones de red y storage
  • Interferir con procesos de backup y recuperación
  • Establecer persistencia a nivel de plataforma

En términos prácticos, el impacto equivale a la toma de control del entorno virtual.

4) Productos y versiones afectadas

La vulnerabilidad afecta a VMware vCenter Server Appliance en las ramas principales 7.x y 8.x.

Versiones mínimas corregidas reportadas:

  • vCenter Server 8.0: 8.0 Update 2d o 8.0 Update 1e
  • vCenter Server 7.0: 7.0 Update 3r

Los entornos que ejecuten versiones anteriores deben considerarse vulnerables hasta confirmar lo contrario mediante el build exacto.

5) Cómo verificar si el entorno está afectado

Paso 1 – Identificar versión y build:

Acceder a la interfaz de administración del appliance (VAMI) en:

https://<vcenter>:5480

Verificar versión y número de build y compararlos con la matriz de remediación del advisory VMSA-2024-0012.

Paso 2 – Evaluar exposición de red:

  • Determinar si vCenter es accesible desde redes de usuario
  • Revisar reglas de firewall y segmentación
  • Verificar accesos por VPN con alcance amplio

La exposición innecesaria de vCenter incrementa significativamente el riesgo.

6) Medidas inmediatas de mitigación

Si no es posible aplicar el parche de forma inmediata, se recomienda:

  • Restringir el acceso a vCenter exclusivamente a subredes administrativas
  • Bloquear acceso desde redes no confiables
  • Eliminar reglas temporales o heredadas que expongan el servicio

Estas acciones no eliminan la vulnerabilidad, pero reducen la superficie de ataque.

7) Corrección definitiva

La remediación completa requiere actualizar vCenter Server a una versión corregida según el advisory oficial.

Buenas prácticas antes de actualizar:

  • Backup completo del appliance de vCenter
  • Snapshot del VCSA (si la política operativa lo permite)
  • Verificación de compatibilidad con plugins y soluciones integradas
  • Ventana de mantenimiento con plan de rollback documentado

8) Validación posterior a la actualización

Una vez aplicado el update:

  • Confirmar versión y build
  • Validar acceso SSO y operaciones básicas
  • Probar integraciones críticas (backup, monitoreo, automatización)

9) Indicadores de posible compromiso

En entornos expuestos y sin parches, se recomienda revisar:

  • Eventos y tareas inusuales en vCenter
  • Cambios no autorizados de permisos o cuentas
  • Logs del appliance bajo /var/log/vmware/
  • Correlación con SIEM o herramientas de seguridad existentes

Si no puede descartarse compromiso, el incidente debe tratarse como potencialmente activo.

10) Referencias técnicas