Crítica 
Descripció
S'han identificat errors crítics de seguretat a VMware vCenter Server i VMware Cloud Foundation que permeten:
⚠️ Execució remota de codi (RCE) enviant paquets especialment construïts a vCenter Server.
⚠️ Elevació de privilegis local a vCenter Server Appliance.
| Identificador | Tipus | Risc | Detall |
|---|---|---|---|
| CVE-2024-37079 | Heap overflow – RCE | CVSS 9.8 (Critical) | Permet a un atacant amb accés de xarxa executar codi arbitrari remotament. (Support Portal) |
| CVE-2024-37080 | Heap overflow – RCE | CVSS 9.8 (Critical) | Similar a CVE-37079 – explotació remota possible. (Support Portal) |
| CVE-2024-37081 | Privilege escalation local | CVSS 7.8 (High) | Compte local no-admin pot escalar a root. (cert.europa.eu) |
A més, hi ha informació d'explotació al món real, especialment per a CVE-2024-37079.
Productes afectats
- VMware vCenter Server (totes versions anteriors a l'actualització)
- VMware Cloud Foundation (que incorpora vCenter)
Aquests errors afecten versions típiques en ús de vCenter Server 7.xi 8.x abans dels corresponents pegats.
Solució
- Aplicar immediatament les actualitzacions oficials de vCenter Server i Cloud Foundation segons matrix de pegats publicat per VMware/Broadcom.
- No hi ha workaround efectiu: els pegats són l'única solució fiable.
- Verificar logs i telemetria per a activitat anòmala al servei vCenter (connexions inusuals, execució d'ordres inesperades, escalades de permisos, etc.).
- Reviseu si els sistemes van ser compromesos abans d'aplicar el pegat.
Indicadors de risc per a SOC
Monitoritzar:
- Trànsit inesperat a la interfície dadministració (TCP 443) o DCERPC de vCenter.
- Esdeveniments de sudo o escalació de permisos no autoritzats.
- Senyals d'execució de codi o shells inesperats a la màquina vCenter.
Referències
Broadcom Security Advisory VMSA-2024-0012.1 – VMware vCenter Server: heap-overflow i elevació de privilegis.
CVE-2024-37079 / CVE-2024-37080 / CVE-2024-37081 – vulnerabilitats detallades.
