Broadcom ( VMware) heeft haar beveiligingsmelding VMSA-2024-0012.1 bijgewerkt met een bijzonder relevante nota voor infrastructuureams: er zijn aanwijzingen voor exploitatie in de natuur (in het wild) van CVE-2024-37079, een van de kritieke kwetsbaarheden die VMware vCenter Server treffen. De update van de melding is gedateerd op 23 januari 2026, wat één ding duidelijk maakt: patchen is geen optionele actie meer, maar een operationele prioriteit.
De waarschuwing bundelt drie CVEs: twee heap-overflow kwetsbaarheden in de implementatie van het DCERPC-protocol (geassocieerd met mogelijke externe code-uitvoering (RCE)) en een kwetsbaarheid voor lokale privilege-escalatie door een misconfiguratie van sudo.
Wat is precies gepubliceerd
Op technisch en impactniveau dekt de melding:
- CVE-2024-37079 en CVE-2024-37080 (Kritiek, CVSS 9,8):
Heap-overflow kwetsbaarheden in DCERPC. Een actor met netwerktoegang kan deze activeren via speciaal ontworpen pakketten, met het risico op RCE (volgens evaluatie van de fabrikant zelf). - CVE-2024-37081 (Belangrijk/Kritiek in de meldingsnotitie, CVSS 7,8):
Lokale privilege-escalatie: een geauthenticeerde lokale gebruiker zonder beheerdersrechten zou kunnen toeslaan en zichzelf kunnen verhogen naar root op de vCenter Server Appliance.
Bovendien voegt de update van 23 januari 2026 een regel toe die de risicocontext wijzigt: “Broadcom heeft aanwijzingen dat exploitatie van CVE-2024-37079 in het wild heeft plaatsgevonden.”
Als extra waarschuwingssignaal voor operationele urgentie toont de NVD-log dat CVE-2024-37079 is toegevoegd aan de CISA KEV-catalogus op 23 januari 2026, met een remedatietermijn vastgesteld door CISA.
Tabel 1 — Samenvatting van de kernpunten
| Onderdeel | Details |
|---|---|
| Advisory | VMSA-2024-0012.1 (bijgewerkt op 23/01/2026) |
| Gerapporteerde producten | VMware vCenter Server; VMware Cloud Foundation |
| CVEs | CVE-2024-37079, CVE-2024-37080, CVE-2024-37081 |
| Hoofdimpact | RCE (netwerk) in DCERPC + lokale escalatie naar root |
| Waarde beoordeling | Kritiek (tot 9,8 CVSS); 7,8 voor LPE |
| Actieve exploitatie | Indicatie voor CVE-2024-37079 “in het wild” |
| Workaround | Voor RCE (37079/37080) wordt aangegeven dat geen workaround mogelijk is; voor 37081 bestaat geen workaround |
Tabel 2 — Geredde versies (fabrikantrespons-matrix)
| Platform | Lijn | Gedekte CVEs | Aangeraden patch |
|---|---|---|---|
| vCenter Server | 8.0 | 37079/37080/37081 | vCenter 8.0 U2d |
| vCenter Server | 8.0 | 37079/37080 | vCenter 8.0 U1e |
| vCenter Server | 7.0 | 37079/37080/37081 | vCenter 7.0 U3r |
| Cloud Foundation (vCenter) | 5.x / 4.x | 37079/37080/37081 | KB88287 |
Waarom is dit bijzonder kritisch voor vCenter
vCenter fungeert vaak als het bedieningsplan voor virtualisatie: inventarisatie, permissies, provisioning, virtuele netwerken, opslag en operaties. Dit betekent dat zelfs wanneer een storing zich ‘alleen’ beperkt tot één component, de potentiële impact onevenredig groot kan zijn: een uitval of controle-overname kan leiden tot verlies van operationeel beheer, onderbrekingen in de dienst en laterale bewegingen.
De kernpunten uit de waarschuwing zijn:
- Netwerkvector (voor de kritieke DCERPC CVEs)
- Kritieke ernst (9,8)
- Indicaties van daadwerkelijke exploitatie (minimaal voor CVE-2024-37079)
Wat moeten systeemteams doen (prioriteitenvolgorde)
- In kaart brengen
- Identificeer alle vCenter-installaties en Cloud Foundation-omgevingen (inclusief DR/BCP en labs verbonden met bedrijfsnetwerken).
- Prioriteren op blootstelling
- Segmenteer of sluit alles af met een onnodige netwerkroute naar vCenter (segmentatie, ACL’s, bastion, VPN, beheersprong). Alhoewel de melding spreekt over “netwerktoegang”, is het veiligste om vCenter te behandelen als een alleen beheerlaag.
- Het juiste patches toepassen
- vCenter 8.0 → U2d (of U1e indien van toepassing op je versie)
- vCenter 7.0 → U3r
- Cloud Foundation 4.x/5.x → KB88287
- Post-patch verificatie
- Controleer versie en de werking van services en review logs op integriteit en activiteit.
- Houd na het patchen alert, omdat exploitatie vaak toeneemt na het vrijgeven van updates.
- Operationeel risico beperken
- Herzie toegangsrechten tot de VCSA, implementeer indien mogelijk MFA en versterk het beheerlaag.
- Volgens interne procedures, stel een SLA voor het beheer van kwetsbaarheden in.