Lỗ hổng CVE nghiêm trọng VMware vCenter: RCE, bản vá khẩn cấp

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã bổ sung một lỗ hổng CVE nghiêm trọng ảnh hưởng đến VMware vCenter Server của Broadcom vào danh mục Known Exploited Vulnerabilities (KEV) của mình. Sự bổ sung này xác nhận rằng việc khai thác tích cực lỗ hổng CVE-2024-37079 (nguồn) đã được phát hiện trong thực tế, gây ra rủi ro đáng kể cho các môi trường doanh nghiệp phụ thuộc vào vCenter để quản lý ảo hóa.

Lỗ hổng CVE-2024-37079, ban đầu được Broadcom tiết lộ, là một vấn đề ghi ngoài giới hạn (out-of-bounds write) nằm trong quá trình triển khai giao thức DCERPC (Distributed Computing Environment / Remote Procedure Calls).

Khai thác thành công cho phép một tác nhân độc hại có quyền truy cập mạng vào vCenter Server thực hiện remote code execution (RCE), có khả năng giành toàn quyền kiểm soát hệ thống bị ảnh hưởng. Lỗ hổng này bắt nguồn từ việc xử lý bộ nhớ không đúng cách trong giao thức DCERPC.

Chi Tiết Kỹ Thuật về Lỗ Hổng CVE-2024-37079

Bản Chất của Lỗ Hổng: Out-of-bounds Write và DCERPC

Lỗ hổng CVE-2024-37079 được phân loại là lỗi ghi ngoài giới hạn (out-of-bounds write), đặc biệt liên quan đến cách vCenter Server xử lý các yêu cầu thông qua giao thức DCERPC. Giao thức này được sử dụng rộng rãi trong các môi trường Windows và các hệ thống khác để cho phép các ứng dụng giao tiếp từ xa.

Một lỗi ghi ngoài giới hạn xảy ra khi một chương trình cố gắng ghi dữ liệu vào một vị trí bộ nhớ nằm ngoài vùng đã được cấp phát hợp lệ. Điều này có thể dẫn đến việc ghi đè lên các cấu trúc dữ liệu quan trọng khác hoặc mã thực thi, gây ra sự cố hệ thống hoặc, như trong trường hợp này, cho phép thực thi mã tùy ý.

Theo phân loại CWE-787 (Out-of-bounds Write nguồn), đây là một lỗ hổng nghiêm trọng. Kẻ tấn công chưa xác thực có thể kích hoạt lỗ hổng bằng cách gửi các gói mạng được chế tạo đặc biệt đến vCenter Server. Điều này cho thấy tính chất không cần xác thực và khả năng tấn công từ xa của lỗ hổng.

Tác Động Nghiêm Trọng của Remote Code Execution

Tác động chính của việc khai thác thành công lỗ hổng CVE-2024-37079 là khả năng thực hiện remote code execution. Điều này có nghĩa là kẻ tấn công có thể chạy các lệnh tùy ý trên vCenter Server từ xa mà không cần bất kỳ quyền truy cập hợp lệ nào trước đó.

Vì vCenter Server là tiện ích quản lý tập trung cho việc quản lý các môi trường VMware vSphere, một sự thỏa hiệp ở đây thường cung cấp cho kẻ tấn công khả năng di chuyển ngang (lateral movement) trên toàn bộ cơ sở hạ tầng ảo hóa.

Hệ thống ảo hóa, nơi các máy ảo (VM) chứa dữ liệu và ứng dụng quan trọng, trở thành mục tiêu chính. Kẻ tấn công có thể truy cập, sửa đổi hoặc xóa dữ liệu, triển khai mã độc hại hoặc thậm chí kiểm soát toàn bộ môi trường máy chủ ảo.

Mặc dù CISA hiện liệt kê trạng thái “Known To Be Used in Ransomware Campaigns” là “Unknown,” bản chất của lỗ hổng này khiến nó trở thành một điểm vào rất hấp dẫn cho các nhóm môi giới truy cập ban đầu (Initial Access Brokers) và các nhóm ransomware. Khả năng chiếm quyền điều khiển hệ thống quản lý trung tâm là một lợi thế lớn cho các cuộc tấn công tinh vi.

Yêu Cầu Vá Lỗi và Bản Vá Bảo Mật Khẩn Cấp từ CISA

Danh Mục KEV và Thời Hạn Khắc Phục

Việc CISA bổ sung lỗ hổng CVE-2024-37079 vào danh mục KEV vào ngày 23 tháng 1 năm 2026 nhấn mạnh mức độ nghiêm trọng và tính cấp bách của nó. Danh mục KEV bao gồm các lỗ hổng đã được xác nhận là bị khai thác trong thực tế và đòi hỏi hành động khắc phục ngay lập tức.

CISA đã yêu cầu các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) khắc phục lỗ hổng CVE-2024-37079 này trước ngày 13 tháng 2 năm 2026. Thời hạn ngắn này phản ánh mức độ rủi ro cao mà lỗ hổng gây ra và nhu cầu bảo vệ khẩn cấp hạ tầng liên bang.

Hơn nữa, CISA cũng khuyến cáo (nguồn) tất cả các tổ chức, không chỉ các thực thể liên bang, nên ưu tiên vá lỗi này ngay lập tức. Đây là lời cảnh báo toàn cầu về một mối đe dọa đang hoạt động và có khả năng gây thiệt hại lớn.

Các Bản Vá Bảo Mật và Biện Pháp Giảm Thiểu

Broadcom đã phát hành các bản cập nhật cho vCenter Server để giải quyết vấn đề này (nguồn). Quản trị viên được khuyến nghị nâng cấp lên các phiên bản an toàn mới nhất để đảm bảo an ninh hệ thống.

Hành động được khuyến nghị là áp dụng các biện pháp giảm thiểu hoặc bản vá bảo mật do nhà cung cấp cung cấp. Nếu không có các biện pháp giảm thiểu hoặc bản vá bảo mật phù hợp, CISA khuyến nghị ngừng sử dụng sản phẩm bị ảnh hưởng.

Việc không áp dụng bản vá bảo mật có thể khiến hệ thống tiếp tục dễ bị tấn công. Với thời hạn do CISA đặt ra vào giữa tháng Hai, các tổ chức có một cửa sổ hạn chế để giải quyết rủi ro nghiêm trọng này trước khi nó trở thành mục tiêu tiêu chuẩn cho các công cụ khai thác tự động.

Các Bước Bảo Vệ Hạ Tầng Ảo Hóa của Bạn

Để bảo vệ hạ tầng ảo hóa khỏi mối đe dọa liên quan đến lỗ hổng CVE-2024-37079 và các cuộc tấn công tương tự, các nhóm bảo mật nên thực hiện các bước sau:

• Xác định và Kiểm tra: Ngay lập tức kiểm tra tất cả các phiên bản VMware vCenter Server đang chạy trong môi trường của bạn để xác định xem có bị ảnh hưởng bởi lỗ hổng CVE-2024-37079 hay không. Ưu tiên các hệ thống có quyền truy cập từ mạng bên ngoài.
• Triển khai Bản Vá: Lập kế hoạch và triển khai ngay lập tức các bản vá bảo mật do Broadcom cung cấp cho các phiên bản vCenter Server bị ảnh hưởng. Đảm bảo quy trình vá lỗi tuân thủ các thực hành tốt nhất về quản lý thay đổi.
• Giới hạn Tiếp xúc Mạng: Đảm bảo rằng các hệ thống quản lý vCenter Server không tiếp xúc trực tiếp với Internet công cộng. Hạn chế quyền truy cập vào các cổng dịch vụ vCenter Server chỉ từ các địa chỉ IP đáng tin cậy và mạng nội bộ được kiểm soát.
• Phân đoạn Mạng: Áp dụng các biện pháp phân đoạn mạng mạnh mẽ để cô lập vCenter Server và các thành phần quản lý ảo hóa khác. Hạn chế quyền truy cập vào các cổng DCERPC (ví dụ: TCP/135, TCP/445 và các cổng động) chỉ cho các máy chủ và dịch vụ cần thiết.
• Giám sát và Phát hiện: Tăng cường giám sát nhật ký hệ thống của vCenter Server và các thiết bị mạng liên quan để phát hiện các hoạt động bất thường, các nỗ lực truy cập trái phép hoặc các dấu hiệu khai thác lỗ hổng CVE này. Triển khai IDS/IPS để phát hiện các mẫu tấn công.
• Kiểm tra Bảo Mật Định Kỳ: Thực hiện đánh giá định kỳ về cấu hình bảo mật của môi trường vSphere và vCenter Server. Đảm bảo rằng tất cả các cài đặt bảo mật, bao gồm quyền truy cập, xác thực và ủy quyền, đều được cấu hình một cách an toàn.
• Kế Hoạch Ứng Phó Sự Cố: Cập nhật và thử nghiệm kế hoạch ứng phó sự cố của bạn để bao gồm các kịch bản liên quan đến việc thỏa hiệp các hệ thống quản lý ảo hóa. Đảm bảo các đội ngũ có thể nhanh chóng phát hiện, ngăn chặn và phục hồi sau một cuộc tấn công.