Allarme CISA: exploit in corso contro VMware vCenter. Rischio RCE senza autenticazione

La vulnerabilità critica recentemente aggiunta al catalogo delle vulnerabilità note sfruttate (KEV) dalla Cybersecurity and Infrastructure Security Agency (CISA) interessa il Broadcom VMware vCenter Server e viene attivamente sfruttata dagli hacker criminali per violare le reti aziendali, come conferma l’agenzia.

Per un avversario esperto, il vettore di attacco risulta essere allarmantemente semplice.
Secondo la registrazione CVE, un pacchetto di rete appositamente creato può essere inviato da un utente malintenzionato con accesso alla rete a vCenter Server, innescando così questa vulnerabilità.

La vulnerabilità , è il CVE-2024-37079, il quale ha un punteggio CVSS critico di 9,8, che segnala il livello di pericolo più elevato per le organizzazioni che utilizzano versioni non corrette della popolare piattaforma di gestione della virtualizzazione.

La falla è nascosta nell’implementazione del protocollo DCERPC utilizzato da vCenter Server. È descritta come una vulnerabilità di heap overflow.

Il problema era stato originariamente risolto da Broadcom a giugno 2024, insieme a una vulnerabilità simile di heap overflow, identificata come CVE-2024-37080. Entrambi i problemi sono stati attribuiti ai ricercatori di sicurezza Hao Zheng e Zibo Li dell’azienda cinese di sicurezza informatica QiAnXin LegendSec.

Se l’attacco ha successo, questo singolo pacchetto può dare luogo a un’esecuzione di codice remoto (RCE), consegnando di fatto all’aggressore le chiavi del server senza bisogno di una password o di un’autenticazione preventiva.

Nonostante i particolari degli attacchi restino oscuri, la constatazione che siano sfruttati attivamente modifica le strategie per coloro che difendono. La decisione della CISA di inserire questa vulnerabilità nel catalogo KEV comporta un intervento urgente per le reti federali.

Tuttavia, nonostante le patch siano disponibili da oltre un anno, Broadcom ha ora aggiornato il suo avviso per confermare ufficialmente l’abuso in atto della vulnerabilità.

L’agenzia ha affermato che “esistono rischi sostanziali per l’ente federale” e, pertanto, ha disposto che tutte le agenzie del ramo esecutivo civile federale (FCEB) siano obbligate a risolvere la vulnerabilità entro il 13 febbraio 2026.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Manuel Roccon

Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

Aree di competenza: Ethical Hacking, Bug Hunting, Penetration Testing, Red Teaming, Security Research, Cybersecurity Communication