Lỗ Hổng VMware vCenter Cực Kỳ Nguy Hiểm Đang Bị Khai Thác Tích Cực

Một lỗ hổng nghiêm trọng (CVE-2024-37079) trong VMware vCenter Server, vốn đã được vá từ tháng 6/2024, hiện đang bị các tác nhân đe dọa tích cực khai thác trong thực tế. Cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ (CISA) đã chính thức bổ sung lỗ hổng này vào Danh mục Lỗ hổng Bị Khai thác Đã biết (KEV) vào ngày 24/1/2026, đồng thời hãng Broadcom (công ty mẹ của VMware) cũng xác nhận thông tin về các cuộc tấn công.

Tổng quan

Theo thông báo chính thức từ Broadcom (VMSA-2024-0012) mô tả một nhóm ba lỗ hổng nghiêm trọng ảnh hưởng đến VMware vCenter Server và VMware Cloud Foundation:

Chi tiết từng lỗ hổng:

1. CVE-2024-37079 & CVE-2024-37080 - Lỗ hổng Thực thi Mã từ xa (RCE)

• Nguyên nhân: Cả hai đều là lỗ hổng "tràn bộ nhớ heap" trong phần triển khai giao thức DCERPC của vCenter Server. Việc kiểm tra giới hạn bộ nhớ không chính xác khi xử lý các gói mạng cho phép kẻ tấn công ghi đè dữ liệu ra ngoài vùng cho phép.

• Phương thức tấn công: Một kẻ tấn công có quyền truy cập mạng vào máy chủ vCenter có thể kích hoạt các lỗ hổng này bằng cách gửi các gói mạng được thiết kế đặc biệt.

• Hậu quả: Thực thi mã từ xa trên hệ thống bị ảnh hưởng, cho phép kẻ tấn công chiếm toàn quyền kiểm soát.

2. CVE-2024-37081 - Lỗ hổng Leo thang Đặc quyền

• Nguyên nhân: Cấu hình sai trong lệnh sudo.

• Phương thức tấn công: Người dùng cục bộ đã xác thực nhưng không có quyền quản trị có thể khai thác lỗi này.

• Hậu quả: Nâng đặc quyền lên root trên VMware vCenter Server Appliance.

Đã phát hiện các cuộc tấn công thực tế

1. Đã Được Xác Nhận Khai Thác Trong Thực Tế: Ghi chú cập nhật từ Broadcom ngày 23/1/2026 nêu rõ: "Broadcom có thông tin cho thấy việc khai thác CVE-2024-37079 đã xảy ra trong thực tế." Điều này có nghĩa lỗ hổng không còn là mối đe dọa lý thuyết.

2. Được CISA Cảnh Báo Chính Thức: Việc được đưa vào danh sách KEV của CISA là chỉ dẫn rõ ràng rằng các cơ quan chính phủ liên bang Hoa Kỳ phải vá lỗi trong vòng 3 tuần. Đây là tiêu chuẩn vàng để đánh giá mức độ nguy hiểm của một lỗ hổng.

3. Phạm Vi Ảnh Hưởng Rộng: VMware vCenter Server là trung tâm quản lý cho hầu hết các trung tâm dữ liệu ảo hóa. Việc bị xâm nhập đồng nghĩa với việc toàn bộ hạ tầng điện toán đám mây doanh nghiệp, bao gồm máy ảo, dữ liệu và mạng, bị đe dọa.

4. Đường Tấn Công Trực Tiếp Từ Mạng: Kẻ tấn công chỉ cần có khả năng kết nối mạng đến cổng dịch vụ bị ảnh hưởng mà không cần bất kỳ thông tin xác thực nào, khiến lỗ hổng cực kỳ dễ bị khai thác.

5. Không Có Biện Pháp Khắc Phục Tạm Thời (Workaround): VMware đã nghiên cứu các biện pháp khắc phục trong sản phẩm nhưng không khả thi. Cách duy nhất để bịt lỗ hổng là cập nhật phiên bản.

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị cần thực hiện ngay các bước sau để bảo vệ môi trường của tổ chức:

1. Xác Định Phiên Bản & Phạm Vi Ảnh Hưởng

• Kiểm tra phiên bản VMware vCenter Server và VMware Cloud Foundation đang chạy trong môi trường của tổ chức.

• Đối chiếu với bảng phiên bản bị ảnh hưởng dưới đây:

2. Áp Dụng Bản Cập Nhật Ngay Lập Tức

• Ưu tiên số 1: Nâng cấp các triển khai bị ảnh hưởng lên phiên bản đã sửa lỗi như bảng trên.

• Liên kết tải xuống và tài liệu chính thức:

  • vCenter Server 8.0 U2d

  • vCenter Server 8.0 U1e

  • vCenter Server 7.0 U3r

  • Cloud Foundation: Xem Bài viết Kiến thức 88287

3. Rà Soát & Giám Sát Sau Khi Vá

• Sau khi nâng cấp, hãy rà soát nhật ký hệ thống (system logs) để tìm kiếm bất kỳ dấu hiệu hoạt động đáng ngờ nào trước thời điểm vá lỗi.

• Tăng cường giám sát lưu lượng mạng đến các cổng dịch vụ DCERPC của vCenter.

4. Tuân Thủ Nguyên Tắc Bảo Mật Cơ Bản

• Áp dụng nguyên tắc "privilege least" - chỉ cấp quyền truy cập tối thiểu cần thiết.

• Cách ly mạng cho các giao diện quản trị vCenter, hạn chế truy cập từ internet công cộng.

---

Tài liệu tham khảo chính thức:

• Thông báo Bảo mật VMSA-2024-0012 đầy đủ từ Broadcom

• Danh mục KEV của CISA cho CVE-2024-37079

• Bài viết phân tích từ SecurityWeek