CISA Adds Actively Exploited VMware vCenter Flaw CVE-2024-37079 to KEV Catalog
2026/01/24 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は 2026年1月23日 (金) に、Broadcom の VMware vCenter Server に影響を及ぼす深刻なセキュリティ脆弱性 CVE-2024-37079 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は 2024年6月に修正されていたが、実環境での悪用を確認する証拠が得られ、新たに追加されることになった。
脆弱性 CVE-2024-37079 (CVSS:9.8) は、DCE/RPC プロトコル実装におけるヒープ・オーバーフローに起因する。この脆弱性を悪用する、vCenter Server へのネットワーク・アクセスが可能な攻撃者は、細工されたネットワーク・パケットを送信することで、リモート・コード実行を引き起こす可能性がある。
2024年6月の時点で CVE-2024-37079 は、別の脆弱性 CVE-2024-37080 とともに、Broadcom により修正された。どちらの脆弱性も、DCE/RPC プロトコル実装におけるヒープ・オーバーフローに起因し、リモート・コード実行につながる可能性がある。 これらの問題は、中国のサイバー・セキュリティ企業 QiAnXin LegendSec の研究者である、Hao Zheng および Zibo Li により発見/報告された。
2025年4月に開催された Black Hat Asia セキュリティ・カンファレンスでのプレゼンテーションにおいて、研究者たちが説明したのは、これら 2 件の欠陥が、DCE/RPC サービスで発見された 4 件の脆弱性セットの一部である点だ。その内訳は、3 件のヒープ・オーバーフローと 1 件の権限昇格である。残りの 2 件 CVE-2024-38812/CVE-2024-38813 も、2024年9月に Broadcom により修正された。
ヒープ・オーバーフロー脆弱性の一つを、権限昇格脆弱性 CVE-2024-38813 と連鎖させることで、未承認のリモート root アクセスが実現され、最終的に ESXi の制御を奪取できることを、研究者たちは確認している。
CVE-2024-37079 の悪用における、攻撃の詳細と規模や、攻撃者の帰属について、現時点では明らかになっていない。しかし Broadcom は、その後にアドバイザリを更新し、この脆弱性が実環境で悪用されていることを正式に確認した。Broadcom は更新の中で、「CVE-2024-37079 の悪用が、実環境で発生していることを示唆する情報を把握している」と述べている。
実環境での悪用を CISA が確認したことを受け、Federal Civilian Executive Branch (FCEB) 機関は、2026年2月13日までに最新バージョンへ更新し、最適な防御を確保するよう求められている。
仮想化環境の管理を担う VMware vCenter Server において、外部からシステムを完全に乗っ取られる恐れのある深刻な脆弱性が、現在進行形で攻撃に悪用されていることが確認されました。この問題の原因は、vCenter Serverが通信で使用する DCE/RPC プロトコルの処理プログラムに、メモリ管理の不備であるヒープ・オーバーフローが存在していた点にあります。
この脆弱性 CVE-2024-37079 は、最大級の深刻度を示す CVSS スコア 9.8 と評価されています。攻撃者は、ネットワーク経由で細工したパケットを送信するだけで、パスワードなどの認証なしに、サーバ上で任意のプログラムの実行を引き起こせます。さらに、他の脆弱性と組み合わせることで、最高権限である root 権限を奪い、最終的には管理下の仮想マシンが動く ESXiホスト 全体の制御の奪取を可能にします。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.