Falha crítica no VMware vCenter entra na lista de ataques ativos da CISA

A CISA adicionou ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) uma falha crítica que afeta o VMware vCenter Server, confirmando que a vulnerabilidade já está sendo explorada ativamente no mundo real. O problema, identificado como CVE-2024-37079, possui pontuação 9,8 no CVSS e permite execução remota de código (RCE) a partir do envio de pacotes de rede especialmente preparados ao servidor vCenter.

A falha está relacionada a um estouro de heap na implementação do protocolo DCE/RPC, mecanismo amplamente utilizado para comunicação entre componentes em ambientes corporativos. Um invasor com acesso à rede pode explorar essa condição para assumir o controle do servidor afetado. A correção foi disponibilizada pela Broadcom em junho de 2024, junto com a CVE-2024-37080, que também envolvia um cenário semelhante de estouro de memória com impacto em execução de código.

Pesquisadores da empresa chinesa QiAnXin LegendSec identificaram um conjunto mais amplo de falhas no serviço DCE/RPC, composto por três vulnerabilidades de estouro de heap e uma de elevação de privilégios. Durante uma apresentação na conferência Black Hat Asia, em abril de 2025, foi demonstrado que uma dessas falhas pode ser encadeada com a CVE-2024-38813, permitindo acesso remoto não autorizado com privilégios de root e, consequentemente, o controle do ESXi, base de virtualização de inúmeros data centers corporativos.

Embora ainda não haja informações públicas sobre o grupo hacker responsável ou a escala dos ataques, a Broadcom confirmou oficialmente que há evidências de exploração ativa da CVE-2024-37079. Diante desse cenário, a CISA determinou que as agências do Federal Civilian Executive Branch (FCEB) atualizem seus sistemas para versões corrigidas até 13 de fevereiro de 2026, reforçando a urgência da aplicação dos patches também no setor privado.