تواجه المؤسسات التي تعتمد على منصة إدارة الخوادم VMware vCenter Server موجة تهديدات متسارعة، ترتبط بمجموعة من الثغرات الحرجة في آليات تنفيذ بروتوكول DCERPC. ويأتي هذا في ظل تقارير مؤكدة عن رصد استغلالات نشطة لهذه الثغرات في بيئات العمل الحقيقية، بالتزامن مع إصدار تحديثات متلاحقة لمعالجة إصلاحات سابقة أثبتت عدم كفايتها.
إدراج ضمن قائمة KEV وتأكيد الاستغلال
يبرز في واجهة هذه التطورات إقدام وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) بتاريخ 23 يناير 2026، على إدراج الثغرة CVE-2024-37079 ضمن قائمة الثغرات المعروفة المستغلة (KEV). وحددت الوكالة مهلة ملزمة للمعالجة تنتهي في 13 فبراير 2026، ما ينقل تصنيف هذه الثغرة من دائرة الخطر المحتمل إلى الخطر المؤكد، ويفرض على الجهات المعنية إعطاء أولوية قصوى لمعالجتها ضمن برامج إدارة الثغرات.
من جهتها، أكدت شركة Broadcom، المالكة لـ VMware، عبر نشرتها الأمنية (VMSA-2024-0012.1)، توفر معلومات لديها تشير إلى وقوع استغلال فعلي للثغرة المذكورة. وصنفت هذه الثغرة، إلى جانب الثغرة CVE-2024-37080، كثغرة حرجة مسجلة 9.8 درجات وفق مقياس CVSS، حيث يمكن للمهاجمين استغلالها عبر إرسال حزم شبكية معدلة بعناية نحو خادم vCenter.
ثغرات إضافية وقصور في التحديثات السابقة
في سياق متصل، جرى الكشف عن ثغرة إضافية في مسار DCERPC ذاته، تحمل الرمز CVE-2024-38812، ووصفت تقنياً بأنها من نوع تجاوز سعة الذاكرة (Heap Overflow) وتسمح بتنفيذ أوامر عن بعد. وقد أرفقت هذه الثغرة بأخرى مصاحبة مخصصة لتصعيد الصلاحيات (CVE-2024-38813).
وأقرت Broadcom ضمن النشرة (VMSA-2024-0019) بأن التصحيحات التي أصدرتها في سبتمبر 2024 لم تكف لمعالجة الثغرة الأولى بشكل كامل، ما استدعى إصدار تحديثات إضافية. وتتفاقم الخطورة عند النظر إلى سيناريو تصعيد الصلاحيات الذي تتيحه الثغرة الثانية، إذ يمكن للمهاجم بعد تنفيذ الكود عن بُعد، الانتقال إلى صلاحيات الجذر (Root) على خادم الإدارة، وهو ما يشكل خطراً بالغاً في بيئات التشغيل واسعة النطاق.
النطاق المتأثر والنسخ المصححة
تتوزع الإصلاحات الضرورية على نشرتين أساسيتين وفقاً لطبيعة الثغرات:
النشرة VMSA-2024-0012.1
تغطي الثغرات (CVE-2024-37079 / 37080 / 37081) التي تؤدي إلى تنفيذ عن بُعد وتصعيد محلي. وتتطلب المعالجة التحديث إلى النسخ التالية:
- vCenter Server 8.0: التحديث إلى 8.0 U2d أو 8.0 U1e.
- vCenter Server 7.0: التحديث إلى 7.0 U3r.
النشرة VMSA-2024-0019
تغطي الثغرات (CVE-2024-38812 / 38813) المتعلقة بتجاوز سعة الذاكرة وتصعيد الصلاحيات إلى Root. وتتطلب المعالجة التحديث إلى النسخ التالية:
- vCenter Server 8.0: التحديث إلى 8.0 U3d أو 8.0 U2e.
- vCenter Server 7.0: التحديث إلى 7.0 U3t.
وشددت الشركة على أن النسخ المذكورة أعلاه هي الوحيدة التي تعالج الخلل بفاعلية، نظراً لعدم اكتمال التصحيحات السابقة.
توصيات تشغيلية عاجلة
يوصى باتخاذ حزمة من التدابير خلال الـ 72 ساعة الأولى من تلقي هذه المعلومات، تشمل إجراء جرد شامل لمثيلات vCenter المعرضة للخطر ومطابقتها مع مصفوفات الاستجابة، والبدء الفوري بتطبيق التصحيحات مع التركيز على البيئات الحرجة ومنصات الإنتاج.
كما يتوجب تشديد القيود الشبكية عبر قصر الوصول إلى شبكات الإدارة، وضمان عدم التراجع عن التصحيحات نتيجة عمليات استعادة النسخ الاحتياطية (Rollbacks)، فضلاً عن التعامل مع الثغرة CVE-2024-37079 كأولوية قصوى لكونها مدرجة ضمن قائمة KEV.
