کمیته رکن چهارم – آژانس امنیت سایبری آمریکا (CISA) یک آسیبپذیری بحرانی در VMware vCenter Server را به فهرست آسیبپذیریهای در حال بهرهبرداری (KEV) اضافه کرده است؛ نقصی که امکان اجرای کد از راه دور را فراهم میکند و با وجود وصلهشدن در خرداد ۱۴۰۳، مورد سوءاستفاده فعال قرار گرفته است.
به گزارش کمیته رکن چهارم، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) اعلام کرده که آسیبپذیری CVE-2024-37079 در VMware vCenter Server به فهرست Known Exploited Vulnerabilities (KEV) افزوده شده است. این آسیبپذیری بحرانی که در خرداد ۱۴۰۳ توسط Broadcom وصله شده بود، بر پیادهسازی پروتکل DCE/RPC اثر میگذارد و امتیاز ۹٫۸ از ۱۰ را در سیستم CVSS دریافت کرده است.
آسیبپذیری مذکور از نوع Heap Overflow بوده و به مهاجمان با دسترسی به شبکه، امکان میدهد از طریق ارسال بستهای مخرب به سرور vCenter، کد دلخواه را از راه دور اجرا کنند. این نقص بههمراه آسیبپذیری مشابه دیگری با شناسه CVE-2024-37080 در همان بازه زمانی شناسایی و برطرف شده است.
کشف این دو نقص به پژوهشگران امنیتی شرکت چینی QiAnXin LegendSec نسبت داده شده که در فروردین ۱۴۰۴ طی کنفرانس Black Hat Asia اعلام کردند این آسیبپذیریها بخشی از یک مجموعه شامل چهار آسیبپذیری هستند: سه مورد از نوع Heap Overflow و یک مورد مربوط به ارتقای سطح دسترسی با شناسه CVE-2024-38813 که در شهریور ۱۴۰۳ وصله شده است.
پژوهشگران همچنین موفق به زنجیرهسازی دو آسیبپذیری شدند تا به دسترسی root از راه دور بدون نیاز به احراز هویت و در نهایت کنترل کامل سرورهای ESXi دست پیدا کنند.
هرچند اطلاعات دقیقی از چگونگی بهرهبرداری یا عاملان حملات فعلی منتشر نشده، اما Broadcom تأیید کرده که شواهدی مبنی بر بهرهبرداری فعال از این آسیبپذیری در دنیای واقعی وجود دارد. این شرکت در اطلاعیهای بهصراحت اعلام کرده که حملات واقعی علیه CVE-2024-37079 رخ دادهاند.
در پی این گزارش، سازمانهای فدرال غیرنظامی ایالات متحده موظف شدهاند حداکثر تا ۲۴ بهمن ۱۴۰۴ (۱۳ فوریه ۲۰۲۶) سامانههای خود را به نسخههای اصلاحشده ارتقا دهند تا از خطرات احتمالی جلوگیری شود.
کارشناسان هشدار دادهاند که افزودن این نقص به فهرست KEV نشاندهنده آن است که حتی آسیبپذیریهای وصلهشده نیز در صورت نادیدهگرفتهشدن میتوانند به بردار حمله مؤثری تبدیل شوند؛ بهویژه در زیرساختهای حیاتی مجازیسازی. بر این اساس، تمامی سازمانهایی که از vCenter Server استفاده میکنند باید فوراً وضعیت بهروزرسانیهای امنیتی خود را بررسی و نسبت به ارتقای سامانهها اقدام کنند.
منبع: The Hacker News
