Die US-Behörde CISA führt die Schwachstelle CVE-2024-37079 im VMware vCenter Server als „Known Exploited Vulnerability“ und macht damit deutlich, dass die Lücke nicht nur theoretisch ausnutzbar ist, sondern bereits praktisch missbraucht wurde.

Der KEV-Katalog ist eine von CISA gepflegte Liste von Schwachstellen, die nachweislich aktiv ausgenutzt werden und deshalb bei US-Bundesbehörden verbindliche Prioritäten für die Behebung setzen; in der Praxis dient er auch vielen Unternehmen als Indikator für realen Exploit-Druck. Die standardisierte Dokumentation zu CVE-2024-37079, inklusive Referenzen und KEV-Kontext, findet sich zudem im NIST-NVD-Eintrag.

Broadcom bestätigt Hinweise auf Ausnutzung von CVE-2024-37079

Broadcom hat das zugehörige Security Advisory am 23. Januar 2026 aktualisiert und dabei ergänzt, dass dem Unternehmen Informationen vorliegen, die auf eine Ausnutzung von CVE-2024-37079 „in the wild“ hindeuten. Diese Formulierung ist der entscheidende Unterschied zwischen „kritisch, aber noch ohne bestätigte Angriffe“ und einer Lage, in der Scans, Exploits und Folgekompromittierungen realistisch eingeplant werden müssen, insbesondere in Umgebungen, in denen vCenter aus breiteren Netzwerksegmenten erreichbar ist.

Für Betreiber besonders relevant ist der zweite Herstellerpunkt aus dem Advisory: Broadcom hat zwar Workarounds geprüft, stuft sie aber als nicht praktikabel ein. Damit bleibt als belastbarer Weg zur Risikoreduktion das Update auf die vom Hersteller ausgewiesenen behobenen Versionen, statt auf Zwischenmaßnahmen zu setzen, die den Exploit-Vektor nur vermeintlich entschärfen.

Was über CVE-2024-37079 im VMware vCenter Server bekannt ist

Broadcom beschreibt für CVE-2024-37079 Speicherfehler im Kontext der DCE/RPC-Verarbeitung, die durch speziell gestaltete Netzwerkpakete ausgelöst werden können und potenziell bis zu Remote Code Execution führen. Für die operative Einordnung zählt vor allem der Angriffsweg: Sobald ein Angreifer den notwendigen Netzwerkpfad zur vCenter-Instanz hat, steigt die Attraktivität der Schwachstelle deutlich, weil vCenter in vielen Umgebungen mit hohen Berechtigungen arbeitet und zentrale Steuerungsfunktionen bündelt.

Zur Behebung verweist Broadcom auf konkrete Zielstände in der Response-Matrix innerhalb des Advisories. Entscheidend ist, dass Betreiber ihre installierten Builds systematisch gegen die dort genannten „Fixed Versions“ prüfen, statt sich auf grobe Versionsannahmen zu verlassen, da Patchstände und Update-Pfade in vSphere-Stacks häufig heterogen sind.

Warum die Kombination aus „aktiv ausgenutzt“ und vCenter besonders brisant ist

vCenter ist in vielen Rechenzentren die Management-Schaltstelle der Virtualisierung, von der aus Hosts, Cluster, Berechtigungen und VM-Lifecycle-Operationen gesteuert werden. Aus Angreifersicht ist das ein Hebelpunkt mit hoher Rendite, weil ein Zugriff auf die Management-Ebene oft zu breiteren Folgerisiken führt als ein einzelner kompromittierter Applikationsserver. Deshalb sollte CVE-2024-37079 im VMware vCenter Server nicht als gewöhnlicher Patch im Wartungsstau behandelt werden, sondern als zeitkritischer Fix, der die Angriffsfläche der gesamten Plattform betrifft.

Fakt ist der Herstellerhinweis auf Ausnutzung „in the wild“ und die fehlende Workaround-Option im Broadcom Advisory. Fakt ist ebenso, dass CVE-2024-37079 im CISA-KEV-Katalog geführt wird. Die daraus folgende Priorisierung ist eine sachgerechte betriebliche Konsequenz, weil bei aktiv ausgenutzten Schwachstellen jede zusätzliche Exposition durch unnötige Erreichbarkeit oder verzögerte Change-Fenster das Vorfallrisiko unmittelbar erhöht.

Was Betreiber jetzt priorisieren sollten

Die sinnvolle Reihenfolge ist klar: zuerst die vom Hersteller vorgesehenen Updates einspielen, parallel die Erreichbarkeit der Management-Ebene reduzieren und die Erkennung schärfen. Wer bereits patchen kann, sollte das Update ohne Umwege vorziehen; wer organisatorisch verzögert ist, sollte Zwischenmaßnahmen als Risikoreduktion verstehen, nicht als Ersatz für die Behebung.

• Patchen mit vollständigem Scope. Erfassen Sie alle vCenter-Instanzen inklusive Test-, Staging- und DR-Umgebungen und gleichen Sie die installierten Builds gegen die vom Hersteller genannten „Fixed Versions“ im Broadcom Advisory ab, damit keine vergessenen Management-Knoten als Einstiegspunkt übrig bleiben.
• Exposition minimieren. Betreiben Sie vCenter ausschließlich in dedizierten Management-Netzen, beschränken Sie Zugriffe auf kontrollierte Admin-Pfade und entfernen Sie jede unnötige Erreichbarkeit aus weniger vertrauenswürdigen Segmenten, weil CVE-2024-37079 einen erreichbaren Netzwerkpfad voraussetzt.
• Monitoring und Reaktionsfähigkeit erhöhen. Zentralisieren Sie relevante Logs aus der Management-Zone, alarmieren Sie auf auffällige Zugriffs- und Prozessmuster rund um vCenter und stellen Sie sicher, dass Eskalationswege und Rollen für den Fall eines Verdachtsfalls klar definiert sind.

Der Beitrag CISA nimmt aktiv ausgenutzte VMware-vCenter-Schwachstelle CVE-2024-37079 in den KEV-Katalog auf erschien zuerst auf Ilja Schlak InfoSec Blog.