Af Eskil Sørensen, 05/08/24
Shadowserver har observeret over 20.000 internet-tilgængelige VMware ESXi-instanser påvirket af en udnyttet sårbarhed. Sårbarheden giver trusselsaktører mulighed for at få fuld adgang til en sårbar ESXi-instans.
Det skriver Security Week.
Der er tale om en autentificeringsbypass-sårbarhed med id’et CVE-2024-37085 og en CVSS-score på 6,8. I forhold til alvorlighed ligger den altså i mellemkategorien, hvilket er under de normalt højprofilerede alvorlige og kritiske sårbarheder, der har scorer over hhv. syv og ni på CVSS-skalaen.
VMware skriver ifølge Security Week i sin vejledning, at ”..en ondsindet aktør med tilstrækkelige Active Directory (AD)-tilladelser kan få fuld adgang til en ESXi-vært, der tidligere var konfigureret til at bruge AD til brugeradministration, ved at genskabe den konfigurerede AD-gruppe ('ESX Admins' som standard), efter at den blev slettet fra AD”. Det kræver med andre ord, at flere ting skal gå op for at sårbarheden kan udnyttes, men til gengæld kan der være fuld valuta for indsatsen, hvis udnyttelsen lykkedes.
Succesfuld udnyttelse fører således til fuld administrativ adgang til ESXi-hypervisorerne, hvilket tillader trusselsaktører at kryptere hypervisorens filsystem. Det kan påvirke de hostede serveres evne til at køre og fungere. Det giver også trusselsaktøren mulighed for at få adgang til hostede VM'er og muligvis at eksfiltrere data eller bevæge sig sideværts inden for netværket, fremgår det af en udmelding fra Microsoft.
Rettelser til sårbarheden blev annonceret den 24. juli, og mindre end en uge senere afslørede Microsoft, at flere ransomware-grupper havde udnyttet den i angreb, fremgår det. Angiveligt skal det være trusselaktører som Storm-0506, Storm-1175, Octo Tempest og Manatee Tempest, der har haft udnyttet sårbarheden i flere angreb. I nogle tilfælde ved at implementere ransomware såsom Akira og Black Basta.
Som en del af de observerede angreb oprettede trusselsaktørerne tilmed en ESXi Admins-gruppe og tilføjede sig selv som medlemmer af gruppen for at få fulde administrative rettigheder til alle VMware ESXi-hypervisorer, der sluttede sig til gruppen.
The Shadowserver Foundation, der følger forskellige sårbarheder, noterede den 30. juli, at CVE-2024-37085 er relevant i end 20.000 internet-tilgængelige forekomster. Dog kan nogle instanser have anvendt andre løsninger til imødegåelse af udnyttelse, som Shadowserver ikke kan se.
Links
https://www.securityweek.com/exploited-vulnerability-could-impact-20k-in...