ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Cuma günü, vahşi ortamda aktif istismara ilişkin kanıtlara atıfta bulunarak, Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna Haziran 2024’te yamalanan Broadcom VMware vCenter Sunucusunu etkileyen kritik bir güvenlik açığı ekledi.
Söz konusu güvenlik açığı CVE-2024-37079 (CVSS puanı: 9,8), bu, DCE/RPC protokolünün uygulanmasında, vCenter Sunucusuna ağ erişimi olan kötü bir aktörün, özel hazırlanmış bir ağ paketi göndererek uzaktan kod yürütmesine izin verebilecek bir yığın taşmasını ifade eder.
Bu sorun, DCE/RPC protokolünün uygulanmasında uzaktan kod yürütülmesine yol açabilecek başka bir yığın taşması olan CVE-2024-37080 ile birlikte Haziran 2024’te Broadcom tarafından çözüldü. Çinli siber güvenlik şirketi QiAnXin LegendSec araştırmacıları Hao Zheng ve Zibo Li, sorunları keşfetme ve bildirme konusunda itibar kazandı.
Nisan 2025’te Black Hat Asia güvenlik konferansında yapılan bir sunumda araştırmacılar, iki kusurun DCE/RPC hizmetinde keşfedilen dört güvenlik açığından (üç yığın taşması ve bir ayrıcalık yükseltme) oluşan bir grubun parçası olduğunu söyledi. Diğer iki kusur olan CVE-2024-38812 ve CVE-2024-38813, Eylül 2024’te Broadcom tarafından düzeltildi.
Özellikle, yığın taşması güvenlik açıklarından birinin, yetkisiz uzaktan root erişimi elde etmek ve sonuçta ESXi üzerinde kontrol elde etmek için ayrıcalık yükseltme güvenlik açığı (CVE-2024-38813) ile zincirlenebileceğini buldular.
Şu anda CVE-2024-37079’un nasıl istismar edildiği, bunun bilinen bir tehdit aktörü veya grubunun işi olup olmadığı ya da bu tür saldırıların ölçeği bilinmiyor. Ancak Broadcom, o zamandan bu yana güvenlik açığının kötüye kullanıldığını resmi olarak doğrulayacak şekilde tavsiyesini güncelledi.
Şirket, güncellemesinde “Broadcom’un elinde CVE-2024-37079’un yaygın olarak kullanıldığını gösteren bilgiler var” dedi.
Aktif kullanımın ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının, optimum koruma için 13 Şubat 2026’ya kadar en son sürüme güncellemeleri gerekmektedir.