Die Cyber-Sicherheitsagentur der US-Regierung hat erneut Alarm ausgelöst: Die Cyber-Sicherheits- und Infrastruktur-Sicherheitsagentur (CISA) hat als aktiv genutzt kritische Sicherheitslücke bei VMware vCenter Server und hat die zivilen Bundesbehörden aufgefordert, ihre Server innerhalb von drei Wochen zu sichern. Der Ausfall, aufgezeichnet als CVE-2024-37079 wurde vom Hersteller im vergangenen Juni korrigiert, aber die Kombination seiner Schwere und die Bestätigung von Aktivitäten in der Natur hat die Notfallreaktion erhöht.
VCenter Server ist einfach die zentrale Konsole, die VMware vSphere Umgebungen verwaltet: Sie koordiniert ESXi Hosts, virtuelle Maschinen und Infrastrukturrichtlinien. Wenn ein solches kritisches Stück einen Remote-Code-Ausführungsfehler darstellt, ist der potenzielle Einfluss enorm: Ein Angreifer mit Netzwerkzugriff auf vCenter könnte durch ein speziell manipuliertes Paket Code auf dem Server ausführen, ohne dass Anmeldeinformationen oder Benutzerinteraktion erforderlich sind. Technisch kommt die Schwäche von einem Überlauf in der Verwaltung des DCERPC-Protokolls im vCenter, und durch seine Natur ermöglicht geringe Komplexität Angriffsvektoren.
Broadcom - jetzt Inhaber von VMware - warnte seine Kunden von der Dringlichkeit der Aktualisierung und veröffentlichte Sicherheitsanweisungen; ihre Kommunikation macht deutlich, dass es keine zuverlässige alternative Minderung für diese Schwachstelle gibt, so das Update der geparched Versionen ist die empfohlene Aktion. Die Mitteilung des Lieferanten ist auf seinem Support-Portal verfügbar: Beratung von Broadcom.
Die CISA formalisierte die Schwere der Situation durch die Hinzufügung von CVE-2024-37079 in ihren Katalog bekannter Sicherheitslücken und veröffentlichte, dass nichtmilitärische Exekutivagenturen (die Bundesbehörden für zivile Führungskräfte) vor dem Schutz gefährdeter Systeme schützen sollten 13. Februar 2026 gemäß der verbindlichen Betriebsrichtlinie BOD 22-01. Sie können die CISA-Aktion und die Anforderung in Ihrer öffentlichen Erklärung lesen: CISA-Benachrichtigung und der Richtlinie Seite: BOD 22-01.
Die Tatsache, dass Broadcom bestätigte, dass es Anzeichen einer realen Ausbeutung in produktiven Umgebungen gibt, verstärkt die Dringlichkeit: Wenn ein Lieferant und die nationale Cybersicherheitsbehörde zustimmen, dass ein Ausfall ausgenutzt wird, geht das Risiko über die bloße Hypothese hinaus. Neben der Anwendung der offiziellen Patches (verfügbar im VMware Sicherheitsbereich: VMware Sicherheitshinweise), die operativen Teams sollten die Möglichkeit der vorherigen Verpflichtungen annehmen und entsprechend reagieren.
Dies ist nicht das erste Mal, dass Virtualisierungstechnologien auf dem Radar durch gezielte Ausbeutungen erschienen sind: In den vergangenen Monaten wurden Kampagnen entdeckt, die Fehler in VMware und anderen Broadcom-bezogenen Produkten nutzten, was die Idee verstärkt, dass Angreifer konsequent auf die virtualisierte Infrastruktur-Management-Schicht zeigen. Diese Trends haben dazu geführt, dass die CISA in den letzten Jahren zu mehreren Anlässen rasche Abhilfemaßnahmen fordert.
Bei Managern und Sicherheitsbeamten ist der erste unlösbare Schritt, die Aktualisierung von vCenter in kontrollierten Fenstern zu planen und umzusetzen, die Patches in nicht-produktiven Umgebungen zu testen, bevor sie in die Produktion eingesetzt werden. Seit keine offiziellen temporären Lösungen für CVE-2024-37079 ist es auch angebracht, die Angriffsfläche soweit wie möglich zu reduzieren: das vCenter in einem separaten Management-Netzwerk zu isolieren, strenge Firewall-Regeln anzuwenden, die den IP-Zugang begrenzen, und die administrativen Zugriffskontrollen zu überprüfen. Es ist auch bedauerlich, die Überwachung zu erhöhen, Audits und Verkehrsaufzeichnungen auf der Suche nach anormalen Mustern zu korrelieren, und Vorbereitung von Notfallreaktionsverfahren, falls verdächtige Aktivität erkannt wird.
Es ist wichtig zu erinnern, dass die Aufrechterhaltung der überprüften Sicherung und ein klarer Wiederherstellungsplan hilft, Auswirkungen zu mildern, wenn eine Operation würde die virtuelle Infrastruktur gefährden. Darüber hinaus kann die Koordination mit Lieferanten und internen Sicherheitsteams zum Austausch von Verpflichtungsindikatoren (IoCs) und gelernten Lektionen die Eindämmung und Erholung beschleunigen.
Die Einbeziehung dieses Scheiterns in den von realen Akteuren und direkter Ordnung ausgenutzten Katalog von Sicherheitslücken in die Bundesbehörden unterstreicht eine wiederkehrende Lektion: In kritischer Infrastruktur sind Managementschichten hochwertige Ziele und erfordern ständige Wartung und Überwachung. Wenn Sie vCenter verwalten oder von Dienstleistungen abhängen, die es verwenden, Das Fenster zu handeln ist kurz und die Priorität sollte darin bestehen, die amtlichen Patches anzuwenden und den Führern des Lieferanten und der zuständigen Behörden zu folgen.
Für weitere technische Details zur Schwachstelle und zum Zugriff auf Patches siehe die oben genannten offiziellen Quellen: die Registrierung der CVE in NIST ( CVE-2024-37079), die Bekanntmachung des Lieferanten auf Broadcom ( Beratung von Broadcom) und die Mitteilung der CISA ( CISA-Benachrichtigung)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...