A CISA incluiu a falha CVE-2024-37079, que afeta o VMware vCenter Server, em seu catálogo Known Exploited Vulnerabilities (KEV). A inclusão indica exploração ativa detectada na natureza e coloca administradores de virtualização em alerta máximo.
Descoberta e escopo
O problema foi documentado pela Broadcom e descrito como uma condição de "out-of-bounds write" na implementação do protocolo DCERPC (Distributed Computing Environment / Remote Procedure Calls). A vulnerabilidade permite execução remota de código por um ator com acesso de rede ao serviço de gerenciamento vCenter Server.
Vetor e exploração
Segundo a publicação, um atacante não autenticado pode disparar a vulnerabilidade enviando pacotes de rede especialmente manipulados ao servidor vCenter. Por se tratar de um vetor estritamente baseado em rede e sem necessidade de interação do usuário, a falha é considerada de alto risco para ambientes que expõem ou não segmentam corretamente a interface de gerenciamento.
Evidências e postura oficial
A inclusão de CVE-2024-37079 no catálogo KEV da CISA em 23/01/2026 é a evidência pública de exploração ativa. A agência estabeleceu prazo de remediação para agências federais dos EUA (Federal Civilian Executive Branch) até 13/02/2026. A reportagem também nota que, no catálogo, o status "Known To Be Used in Ransomware Campaigns" aparece como "Unknown" — trecho que reproduzimos por fidelidade:
"Known To Be Used in Ransomware Campaigns status as 'Unknown'"— atribuído à CISA via repositório KEV e ao levantamento divulgado pela fonte.
Impacto e alcance
O vCenter Server é o componente central de gerenciamento de ambientes VMware vSphere; uma compromissão pode resultar em movimento lateral e controle sobre múltiplas máquinas virtuais e hosts do ambiente virtualizado. A matéria destaca que, por ser um ponto de controle centralizado, a exploração bem-sucedida tem potencial para afetar a infraestrutura virtual de forma ampla.
Mitigações e recomendações
A Broadcom publicou atualizações para o vCenter Server que corrigem a falha; a principal ação recomendada é aplicar os patches oficiais o quanto antes. Além disso, a reportagem lista medidas defensivas práticas:
- Patch imediatamente: aplicar as atualizações fornecidas pela Broadcom.
- Segmentação de rede: garantir que interfaces de gerenciamento do vCenter não estejam expostas à internet e limitar acesso a redes administrativas confiáveis.
- Monitoramento: detectar tráfego DCERPC anômalo destinado a servidores vCenter.
- Auditoria de logs: revisar tentativas de conexão não autorizadas ao serviço de gerenciamento.
O que falta saber
A matéria não traz dados públicos sobre a extensão da exploração (número de vítimas, setores afetados, ou evidências de uso em campanhas de ransomware confirmadas). Também não cita uma pontuação CVSS pública no texto fornecido. Não há menção a incidentes específicos no Brasil ou a instituições brasileiras afetadas.
Recomendações executivas
Para times de segurança e CISOs: priorizar avaliação imediata dos ativos que executam vCenter Server, validar exposição de portas/serviços DCERPC em perímetros e aplicar os patches da Broadcom. Se a atualização não puder ser aplicada imediatamente, considerar mitigação temporária por isolamento da interface de gerenciamento e reforço de detecção de tráfego suspeito.
Observação final
A inclusão no KEV e o prazo de remediação da CISA indicam que organizações com grande dependência de virtualização devem tratar a falha como prioridade operacional. A reportagem original recomenda seguir as orientações do fornecedor e da CISA até que haja mais dados públicos sobre vetores de ataque ou campanhas específicas.