VMware ESXi CVE-2024-37085成为勒索软件攻击目标

最后更新于2024年8月2日(星期五)20:09:55 GMT

7月29日，周一，微软 published 一个广泛的威胁情报博客关于观察到的利用 CVE-2024-37085, 一个影响Broadcom VMware ESXi管理程序的Active Directory集成身份验证绕过漏洞. 该漏洞, 据雷德蒙德说, 在零日攻击中被发现，并且显然已被至少六个勒索软件操作使用，以获得域加入ESXi管理程序的完全管理权限(哪一个, in turn, 使攻击者能够加密下游文件系统). CVE-2024-37085是其中之一 multiple issues fixed in a June 25 advisory from Broadcom; it appears to have been exploited as a zero-day vulnerability.

Per Broadcom’s advisory, 成功利用CVE-2024-37085允许攻击者“具有足够的Active Directory (AD)权限”来获得对ESXi主机的完全访问权限 配置使用AD进行用户管理 从Active Directory中删除已配置的AD组(默认为“ESXi Admins”)后，通过重新创建该AD组.”

值得注意的是，博通的建议与微软的描述不同，微软的描述是: 默认情况下，加入Active Directory域的VMware ESXi管理程序认为名为“ESX Admins”的域组的任何成员都具有完全的管理访问权限. 此组不是Active Directory中的内置组，默认情况下不存在. 当服务器加入到域时，ESXi管理程序不会验证这样的组是否存在，并且仍然将具有此名称的组的任何成员视为具有完全管理访问权限, 即使这个团体最初并不存在.”

Also of note: 而VMware的建议指出 ESXi Admins 是默认的AD组，本博客中引用的微软观察都表明使用 ESX Admins rather than ESXi Admins.

ESXi虚拟化环境已安装 popular 目标为勒索软件组织 years past. Notably, 因为ESXi不应该暴露在互联网上, 我们不希望CVE-2024-37085成为初始访问向量——攻击者通常需要已经在目标环境中获得立足点，才能利用该漏洞升级权限.

An CVE-2024-37085的评估 是Rapid7研究人员在ackerkb.

Exploitation

微软研究人员发现了CVE-2024-37085漏洞，该漏洞被许多勒索软件运营商用作妥协后攻击技术, 包括风暴- 0506, Storm-1175, Octo Tempest, 和海牛风暴. 微软观察到的攻击包括使用以下命令, 首先在域中创建一个名为“ESX Admins”的组，然后向该组添加一个用户:

. net组“ESX Admins”/domain /add
. net组“ESX Admins”用户名/域/add

Microsoft 确定了三种方法 用于利用CVE-2024-37085，包括上述的野外技术:

• 将“ESX Admins”组添加到域并向其中添加用户(在野外观察): 如果“ESX Admins”组不存在, 任何有能力创建组的域用户都可以通过创建这样的组将权限升级为对加入域的ESXi管理程序的完全管理访问权限, 然后将它们相加, 或者在他们控制下的其他用户, to the group.
• 将域中的任何组重命名为“ESX Admins”，并向组中添加用户或使用现有的组成员: 这要求攻击者能够访问具有重命名任意组(例如:重命名组)的用户.e.，将其中一个重命名为“ESX Admins”)。. 然后，威胁参与者可以添加用户, 或者利用组中已经存在的用户, 将特权升级为完全管理访问权限.
• ESXi hypervisor权限刷新: 即使网络管理员将域中的任何其他组分配为ESXi管理程序的管理组, “ESX Admins”组成员的全部管理权限不会立即被删除，威胁行为者仍然可以滥用它.

缓解指导

以下产品及版本易受CVE-2024-37085攻击:

• VMware ESXi 8.0 (修复于ESXi80U3-24022510)
• VMware ESXi 7.0(没有补丁计划)
• VMware Cloud Foundation 5.x (fixed in 5.2)
• VMware Cloud Foundation 4.X(没有补丁计划)

The Broadcom advisory on CVE-2024-37085 links to a workaround that modifies several advanced ESXi settings to be more secure; the 解决方案页面 请注意，对于所有版本的ESXi(在ESXi 8之前).0 U3)，“一些ESXi高级设置的默认值默认情况下是不安全的. 当ESXi主机加入Active Directory域时，AD组“ESX Admins”被自动赋予VIM Admin角色.”

Broadcom VMware ESXi和Cloud Foundation客户应尽快更新到受支持的固定版本. 无法更新的管理员应执行 解决方案建议 in the interim. ESXi服务器永远不应该暴露在公共互联网上. 微软还提供了其他关于降低 their blog.

Rapid7客户

在其环境中使用ESXi管理程序的InsightVM和expose客户可以评估其暴露于CVE-2024-37085的风险.X版本流 漏洞检查 2024年6月起可用. 支持扫描ESXi 7.0版本流将于7月30日发布, but was delayed; this coverage is available in the July 31 content release.

通过Rapid7扩展的检测规则库，insighttidr和管理检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent，以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测的非详尽列表，并将对与此漏洞相关的行为发出警报:

• 攻击者技术-使用Net创建“ESX Admins”域组.exe

A 迅猛龙的工件 是否可以帮助组织识别与CVE-2024-37085相关的可疑ESX Admin组活动.