La CISA vient d’ajouter la vulnérabilité critique CVE-2024-37079 au catalogue Known Exploited Vulnerabilities. Cette faille affectant VMware vCenter Server est désormais exploitée activement et expose les infrastructures virtualisées à un risque de compromission complète par exécution de code à distance sans authentification.
La CISA, agence fédérale américaine chargée de la cybersécurité des infrastructures critiques, confirme ainsi que cette vulnérabilité dépasse le stade théorique. Son inscription dans le catalogue KEV signifie que des attaques réelles ont été observées et documentées. Pour les agences civiles fédérales américaines, la directive BOD 22-01 impose désormais une correction avant le 13 février 2026. Pour les entreprises, les administrations et les fournisseurs de services, cette alerte constitue un signal de priorisation immédiate.
CVE-2024-37079 touche Broadcom VMware vCenter Server, composant central d’administration des environnements virtualisés VMware. La vulnérabilité provient d’un débordement de mémoire dans l’implémentation du protocole DCERPC, utilisé pour les communications distantes. Un attaquant disposant d’un simple accès réseau peut envoyer une requête spécialement forgée et déclencher une exécution de code arbitraire sans authentification préalable.
La fiche CVE classe cette faille avec un score CVSS 3.1 de 9,8 sur 10. Ce niveau reflète un impact maximal sur la confidentialité, l’intégrité et la disponibilité. Une exploitation réussie permet de prendre le contrôle du serveur vCenter, puis potentiellement de l’ensemble des hôtes ESXi et des machines virtuelles qu’il orchestre, transformant cette vulnérabilité en point d’entrée privilégié vers le cœur des systèmes d’information.
Une faille qui facilite les mouvements latéraux
vCenter Server pilote les clusters, les politiques de stockage, les sauvegardes, l’automatisation et souvent les mécanismes de reprise d’activité. Sa compromission ouvre l’accès aux charges de travail, aux données centralisées et aux réseaux internes. Selon les analystes sécurité, ce type de faille facilite les mouvements latéraux, l’exfiltration de données et l’installation de rançongiciels à grande échelle.
Le caractère non authentifié de l’attaque abaisse fortement la barrière technique à l’exploitation. Dans de nombreux environnements, vCenter reste accessible depuis des segments réseau étendus pour des raisons opérationnelles. Cette configuration accroît mécaniquement la surface d’attaque, en particulier dans les organisations n’ayant pas segmenté strictement leurs plans de gestion.
Correctifs VMware disponibles, aucune solution de contournement complète
Broadcom VMware a publié des mises à jour corrigeant CVE-2024-37079 dès juin 2024. Les versions corrigées concernent vCenter Server 7.0 à partir de 7.0 U3r, ainsi que vCenter Server 8.0 à partir de 8.0 U1e et 8.0 U2d. La CISA recommande l’application immédiate de ces correctifs sur l’ensemble des instances exposées.
En l’absence de mise à jour immédiate, seules des mesures compensatoires partielles existent, notamment la restriction stricte des accès réseau à vCenter, la segmentation des flux d’administration et une surveillance renforcée des journaux système. Aucun mécanisme de neutralisation complet n’a été publié, ce qui place la mise à jour logicielle au centre de la réponse opérationnelle.
Le catalogue KEV, outil de priorisation pour DSI et RSSI
Le catalogue Known Exploited Vulnerabilities recense exclusivement des failles utilisées dans des attaques. Contrairement aux bases CVE généralistes, il fournit un signal exploitable directement pour la gestion des correctifs. Son intégration dans les chaînes de remédiation permet de hiérarchiser les vulnérabilités selon leur danger immédiat plutôt que selon leur seule sévérité théorique.
Pour les DSI et les RSSI, cette alerte illustre la nécessité d’aligner l’inventaire des actifs, la priorisation fondée sur l’exploitation active et le déploiement rapide des correctifs. Dans des architectures largement virtualisées, la protection de vCenter devient un enjeu de continuité d’activité autant que de cybersécurité, avec des impacts directs sur la disponibilité des services métiers.
