はじめに

米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、BroadcomのVMware vCenter Serverに影響を与える重要なセキュリティ脆弱性「CVE-2024-37079」を、同庁の既知の悪用済み脆弱性（KEV）カタログに追加しました。これは、当該脆弱性が実際にサイバー攻撃に利用されている証拠が確認されたためです。

脆弱性の詳細

この脆弱性はCVSSスコア9.8と評価されており、DCE/RPCプロトコルの実装におけるヒープオーバーフローに起因します。ネットワークアクセスを持つ攻撃者は、特別に細工されたネットワークパケットを送信することで、リモートコード実行（RCE）を達成する可能性があります。Broadcomは、この脆弱性に対するパッチを2024年6月に公開しています。

この問題は、中国のサイバーセキュリティ企業QiAnXin LegendSecの研究者であるHao Zheng氏とZibo Li氏によって発見され、報告されました。両氏は2025年4月のBlack Hat Asiaセキュリティカンファレンスで、DCE/RPCサービスで発見された4つの脆弱性（3つのヒープオーバーフローと1つの特権昇格）の一部としてこれらを発表しています。

関連する脆弱性と連鎖攻撃

CVE-2024-37079とともに、以下の関連脆弱性もパッチが適用されています。

• CVE-2024-37080: DCE/RPCプロトコル実装におけるもう一つのヒープオーバーフローで、リモートコード実行につながる可能性があり、2024年6月にパッチ適用済み。
• CVE-2024-38812およびCVE-2024-38813: これらの特権昇格脆弱性は2024年9月にBroadcomによってパッチが適用されました。

特に、研究者らは、あるヒープオーバーフローの脆弱性と特権昇格の脆弱性（CVE-2024-38813）を組み合わせることで、ESXiに対する不正なリモートルートアクセスを獲得し、最終的に制御を奪取できる可能性も指摘しています。

対策と勧告

Broadcomは、CVE-2024-37079が悪用されていることを公式に確認しており、ユーザーに注意を促しています。この脆弱性の悪用が活発化していることを踏まえ、連邦民間行政機関（FCEB）は、最適な保護のために2026年2月13日までに最新バージョンへのアップデートが義務付けられています。

すべてのVMware vCenter Serverユーザーは、速やかにシステムを最新のパッチが適用された状態に更新し、潜在的なサイバー攻撃から保護することが強く推奨されます。

元記事: https://thehackernews.com/2026/01/cisa-adds-actively-exploited-vmware.html