Blog Blog

CVE‑2024‑38812

July 17, 2025
Nestor Martin Guerra Garcia (Dr. Plaga)
CVE
CVE‑2024‑38812

1. 🛡️ Descripción general y contexto

CVE‑2024‑38812 es una vulnerabilidad crítica de tipo heap‑overflow (CWE‑122) en VMware vCenter Server (versiones 7.0 y 8.0) y en VMware Cloud Foundation. Este fallo reside en la implementación del protocolo DCERPC, utilizado para comunicación remota. Un atacante no autenticado con acceso de red puede enviar paquetes maliciosos especialmente diseñados para provocar un desbordamiento en la memoria heap, lo que conduce a la ejecución remota de código (RCE) con privilegios del sistema.

  • CVSS 3.1: 9.8 (CRITICAL) – acceso desde red, sin credenciales y sin interacción del usuario.
  • Confirmada explotación activa en entornos reales, incluyendo ataques detectados y advertidos por agencias de ciberseguridad .

2. 💡 Detalles técnicos del funcionamiento

El núcleo del problema se encuentra en funciones como rpc_ss_ndr_unmar_interp() y rpc_ss_ndr_contiguous_elt(), en la librería libdcerpc.so del servidor:

  • Estas funciones interpretan datos no confiables recibidos por red, sin verificar correctamente los límites cuando descodifican estructuras complejas como arrays multidimensionales.
  • En particular, un campo controlado por el atacante (range_list->lower) se utiliza en cálculos aritméticos sin validación, provocando que el puntero p_array_addr se desplace fuera del buffer reservado en heap.
  • La operación de copia (memcpy o similar) transfiere datos largos hacia esa dirección errónea, causando el desbordamiento y la corrupción de la memoria contigua. Esto permite sobrescritura arbitraria y control del flujo de ejecución.

3. 🧠 Explotación y vectores de ataque

Requisitos

  • Acceso de red al servicio vCenter/DCERPC (sin necesidad de autenticación).
  • Capacidad para enviar paquetes especialmente elaborados.

Flujo típico de explotación

El atacante envía un paquete RPC mal formado que incluye dimensiones de array engañosas (Z_values, range_list->lower, etc.).

El servidor reserva el heap basado en datos no validados.

La copia memcpy escribe más datos de los permitidos, sobrescribiendo estructuras importantes.

Se logra corrupción de punteros internos, facilitando la ejecución de shellcode.

Se consigue acceso remoto con permisos elevados de sistema dentro de vCenter.

Código de exploit (esquema en Python):

https://github.com/CodeBugBox/CodeBugBox/blob/main/CVE%E2%80%912024%E2%80%9138812

Este script envía un paquete especialmente diseñado que provoca el desfase en la copia de datos, causando el desbordamiento.

Impacto real

  • VMware confirmó explotación en el wild.
  • Aparece en el catálogo de vulnerabilidades explotadas por CISA, subrayando su gravedad y necesidad de acción.

4. 🔐 Métodos de mitigación y soluciones disponibles

✅ Parche oficial

VMware lanzó actualizaciones corregidas:

  • vCenter 8.0 → actualizar a 8.0 U3d (o 8.0 U2e donde aplique).
  • vCenter 7.0 → actualizar a 7.0 U3t.
  • Para Cloud Foundation, usar parches asincrónicos equivalentes.

Importante: el primer parche (septiembre 17) no solucionó completamente el fallo. La versión 8.0 U3b (octubre 21) y sucesoras lo corrigen integralmente.

⚠️ Workarounds temporales

No existen mitigaciones útiles aparte de aplicar el parche; VMware descartó soluciones alternas.

🛠️ Buenas prácticas adicionales

  • Restringir el acceso de red al puerto DCERPC (TCP/135), permitiendo solo a sistemas de gestión confiables.
  • Implementar segmentación de red y listas de control de acceso (ACL) para aislar vCenter.
  • Monitoreo activo de patrones inesperados en tráfico RPC con sistemas IDS/IPS.
  • Revisar regularmente actualizaciones y aplicar pruebas en entornos staging antes de producción.

5. 🧷 Conclusión y reflexión técnica

CVE‑2024‑38812 subraya cómo un error clásico (heap overflow) en componentes críticos de infraestructura puede permitir una ejecución remota de código sin autenticación, comprometiendo componentes clave del datacenter.

🔍 Lecciones técnicas:

  • Validar siempre datos recibidos por red, especialmente en protocolos RPC complejos con estructuras dinámicas.
  • Emergencias: reemplazar funciones no validadas, limitar campos de entrada y evitar lógica vulnerable en deserialización.
  • Las segundas oleadas de parches (U3b y sucesoras) demuestran que una revisión exhaustiva previa es esencial.

🔒 Impacto operativo:

  • Compromiso completo de vCenter implica toma de control del entorno virtual, VM, creación de nuevas máquinas o manipulación masiva.
  • Tanto grandes como pequeñas infraestructuras corren riesgo si no aplican el parche.

Nestor Martin Guerra Garcia (Dr. Plaga)

Nestor Martin Guerra Garcia (Dr. Plaga)

Consultor de Ciberseguridad | Protección de Datos y Gestión de Riesgos | Pentester old school
Volver al blog