Vulnerabilidad crítica en VMware vCenter Server bajo explotación
El 23 de enero del presente año, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de los Estados Unidos de America hizo una nueva publicación en su catálogo de vulnerabilidades explotadas conocidas (KEV). Se trata de una vulnerabilidad que, aunque su explotación activa es reciente, ha existido desde 2024.
Identificada como CVE-2024-37079, esta vulnerabilidad crítica cuenta con una puntuación CVSS3.1 de 9.8 y podría permitir que un atacante con acceso de red al vCenter Server ejecute código remotamente. Este problema se origina por una verificación incorrecta de límites al momento de procesar paquetes de red, lo que provoca un desbordamiento de memoria en el heap en la implementación del protocolo DCE/RPC. Un actor malicioso puede explotar esta vulnerabilidad mandando paquetes de red manipulados.
VMware vCenter Server es una plataforma que gestiona diferentes entornos de VMware vSphere desde la cual se puede monitorear y administrar máquinas virtuales y ESXi hosts, por lo que esta vulnerabilidad representa un riesgo importante.
No existen workarounds para corregir esta vulnerabilidad, así que se recomienda actualizar cuanto antes a las versiones parcheadas publicadas desde 2024 o las más recientes.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| VMware vCenter Server | Versiones desde 8.0 hasta antes de versión 8.0 U2d | Versiones 8.0 U2d o posteriores |
| Versiones desde 8.0 hasta antes de versión 8.0 U1e | Versiones 8.0 U1e o posteriores | |
| Versiones desde 7.0 hasta antes de versión 7.0 U3r | Versiones 7.0 U3r o posteriores |
Recomendaciones
- Actualizar urgentemente VMware vCenter Server a la última versión disponible.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Broadcom. (2024, junio 18). VMSA-2024-0012:VMware vCenter Server updates address heap-overflow and privilege escalation vulnerabilities (CVE-2024-37079, CVE-2024-37080, CVE-2024-37081). Recuperado el 30 de enero de 2026, en: https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453
- Lakshmanan, R. (2026, enero 24). CISA Adds Actively Exploited VMware vCenter Flaw CVE-2024-37079 to KEV Catalog. The Hacker News. Recuperado el 30 de enero de 2026, en: https://thehackernews.com/2026/01/cisa-adds-actively-exploited-vmware.html
- Arghire, I. (2026, enero 26). 2024 VMware Flaw Now in Attackers’ Crosshairs. SecurityWeek. Recuperado el 30 de enero de 2026, en: https://www.securityweek.com/2024-vmware-flaw-now-in-attackers-crosshairs/
- Gatlan, S. (2026, enero 26). CISA says critical VMware RCE flaw now actively exploited. Bleeping Computer. Recuperado el 30 de enero de 2026, en: https://www.bleepingcomputer.com/news/security/cisa-says-critical-vmware-rce-flaw-now-actively-exploited/
