Alerta 2024-20 Vulnerabilidad de bypass de autenticacion en VMWare ESXi explotada activamente
Producto(s) afectado:
- VMware ESXi 8.0 y 7.0
- VMware Cloud Foundation 5.x y 4.x
Descripción
Esta falla de seguridad de “Omisión de autenticación de integración de Active Directory con VMware ESXi” de gravedad media con un puntaje de 5.8 e identificada como CVE-2024-37085, fue descubierta investigadores de seguridad de Microsoft y solucionada con el lanzamiento de ESXi 8.0 U3 el 25 de junio.
ESXi es un hipervisor de hardware que se instala directamente en un servidor físico y proporciona acceso directo y control de los recursos subyacentes. Los hipervisores ESXi alojan máquinas virtuales que pueden incluir servidores críticos en una red. La vulnerabilidad afecta a un grupo de dominio cuyos miembros tienen acceso administrativo completo al hipervisor ESXi de forma predeterminada, sin la validación adecuada. Aunque un ataque exitoso requiere altos privilegios en el dispositivo de destino y la interacción del usuario.
Microsoft ha informado que varias bandas de ransomware lo están explotando para escalar a privilegios de administrador completos en hipervisores unidos al dominio. Hasta el momento, la vulnerabilidad ha sido explotada por operadores de ransomware identificados como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest en ataques que han llevado a implementaciones de ransomware Akira y Black Basta.
Microsoft ha identificado al menos tres tácticas que podrían utilizarse para explotar la vulnerabilidad CVE-2024-37085, entre ellas:
- Agregar el grupo “Administradores de ESX” al dominio y agregar un usuario.
- Renombrar cualquier grupo del dominio como “Administradores de ESX” y agregar un usuario al grupo o usar un miembro existente del grupo.
- Actualizar los privilegios del hipervisor ESXi (asignar privilegios de administrador a otros grupos no los eliminará del grupo “Administradores de ESX”).