ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), VMware vCenter Server’ı etkileyen kritik bir güvenlik açığını Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna ekleyerek bu kusurun gerçek dünyadaki saldırılarda aktif olarak kullanıldığını doğruladı.
Güncelleme, ilk olarak 2024’te yamalı olan ancak yama yapılmamış sistemler çalıştıran kuruluşlar için doğrudan risk oluşturmaya devam eden ciddi bir uzaktan kod yürütme (RCE) sorunu olan CVE-2024-37079’u vurguluyor.
Yığın Taşması Kusuru Ciddi RCE Riski Oluşturur
CVE-2024-37079, maksimum 9,8 CVSS v3.1 puanına sahiptir ve bu da onu kesinlikle “kritik” önem derecesi kategorisine yerleştirir. Güvenlik açığı, VMware vCenter Server içindeki Dağıtılmış Bilgi İşlem Ortamı/Uzak Prosedür Çağrısı (DCE/RPC) protokolü uygulamasındaki yığın taşması zayıflığından kaynaklanıyor.
VMware vCenter Server, yöneticiler tarafından Broadcom’un VMware ESXi hipervizörlerini ve sanal makinelerini merkezi olarak yönetmek için yaygın olarak kullanılıyor ve bu da onu saldırganlar için yüksek değerli bir hedef haline getiriyor.
DCE/RPC veya Dağıtılmış Bilgi İşlem Ortamı/Uzaktan Prosedür Çağrıları, VMware vCenter Server tarafından dahili işlemler arası iletişim için kullanılır. Buna sertifika yönetimi, dizin hizmetleri ve kimlik doğrulama gibi hassas hizmetler dahildir.
CVE açıklamasına göre, “vCenter Sunucusu, DCERPC protokolünün uygulanmasında bir yığın taşması güvenlik açığı içeriyor. vCenter Sunucusuna ağ erişimi olan kötü niyetli bir aktör, özel hazırlanmış bir ağ paketi göndererek bu güvenlik açığını tetikleyebilir ve potansiyel olarak uzaktan kod yürütülmesine yol açabilir.”
Tehdit aktörleri, CVE-2024-37079’u kullanarak vCenter yönetim düzleminde yer edinebilir ve ardından altta yatan hipervizörlere yanal olarak hareket edebilir.
CVE-2024-37079’un VMware vCenter Server ve Cloud Foundation Üzerindeki Etkisi
CVE-2024-37079’a yönelik güvenlik açığı kaydı 18 Haziran 2024’te VMware ve Broadcom tarafından yayınlandı. Bu, kusurun herhangi bir ayrıcalık veya kullanıcı etkileşimi gerektirmeden ağ üzerinden uzaktan yararlanılabileceğini belirtir. Etkilenen ürünler arasında VMware vCenter Server 8.0’ın 8.0 U2d ve 8.0 U1e’den önceki sürümlerinin yanı sıra 7.0 U3r’den önceki 7.0 sürümü de yer alıyor. VMware Cloud Foundation dağıtımları da, özellikle savunmasız vCenter Server bileşenlerini içeren 5.x ve 4.x sürümleri de etkilenir. Daha sonraki sabit sürümler mevcuttur, ancak ürün içi herhangi bir geçerli geçici çözüm belirlenmemiştir.
CVE-2024-37079, ilk olarak 17 Haziran 2024’te yayımlanan VMware Güvenlik Önerisi VMSA-2024-0012’nin bir parçası olarak ele alınmıştır. Öneri aynı zamanda DCE/RPC uygulamasındaki başka bir yığın taşması sorunu olan CVE-2024-37080’i ve yanlış sudo yapılandırmalarının neden olduğu bir yerel ayrıcalık yükseltme güvenlik açığı olan CVE-2024-37081’i de kapsar. CVE-2024-37081, 7,8 gibi daha düşük bir maksimum CVSS puanı taşır ve yerel kimlik doğrulamalı erişim gerektirirken, CVE-2024-37079 ve CVE-2024-37080’in her ikisi de kritik 9,8 eşiğine ulaşır.
Vahşi Doğada Sömürü Meydana Geldiğinden Acil Yama İhtiyacı
23 Ocak 2026’da VMware, danışma belgesini VMSA-2024-0012.1 sürümüne güncelleyerek şu önemli notu ekledi: “Broadcom’da, CVE-2024-37079’un vahşi doğada kötüye kullanıldığını öne süren bilgiler var.” Bu güncelleme, CISA’nın güvenlik açığını KEV kataloğuna ekleme kararıyla uyumlu olup, saldırganların kusuru yalnızca araştırmak yerine aktif olarak kötüye kullandığının sinyalini vermektedir.
VMware, sorunları sorumlu bir şekilde açıklayan araştırmacıları takdir etti. CVE-2024-37079 ve CVE-2024-37080, Qi’anxin Grubundaki TianGong Legendsec Ekibinden Hao Zheng (@zhz) ve Zibo Li (@zbleet) tarafından rapor edildi. CVE-2024-37081, Deloitte Romanya’dan Matei “Mal” Badanoiu tarafından rapor edildi.