吳明宜上個月 VMware 才修補了虛擬化軟體 ESXi hypervisor 漏洞,微軟本周便警告已經觀察到勒索軟體駭客積極利用這漏洞,試圖以管理員權限駭入同一 AD 網域的系統。
編號 CVE-2024-37085 的 ESXi hypervisor 漏洞。這是一個驗證繞過漏洞,CVSS 風險等級 6.8 。 VMware 母公司博通 (Broadcom) 上個月發佈安全公告, 基於這個漏洞,擁有 Active Directory (AD) 權限的攻擊者可以刪除某個具備管理員權限 AD 群組(預設為 ESXi Admin)再重建一個,藉此取得 ESXi 主機完整存取權。
VMware/博通上周釋出 ESXi 8.0 和 VMware Cloud Foundation 5.x 修補,ESXi 7.x 與 VMware Cloud Foundation 4.x 版本則沒有發布修補更新的計畫。在博通發布的資安公告理提到的 KB369707 文件中,有列出漏洞修補的設定方式,包含 ESXi 7.x 與 VCF 4.x 。
| VMware Product | Version | Running On | CVE | CVSSv3 | Severity | Fixed Version | Workarounds | Additional Documentation |
|---|---|---|---|---|---|---|---|---|
| ESXi | 8.0 | Any | CVE-2024-37085 | 6.8 | Moderate | ESXi80U3-24022510 | KB369707 | None |
| ESXi | 7.0 | Any | CVE-2024-37085 | 6.8 | Moderate | No Patch Planned | KB369707 | None |
| VMware Cloud Foundation | 5.x | Any | CVE-2024-37085 | 6.8 | Moderate | 5.2 | KB369707 | None |
| VMware Cloud Foundation | 4.x | Any | CVE-2024-37085 | 6.8 | Moderate | No Patch Planned | KB369707 | None |
微軟指出,CVE-2024-37085 有三種攻擊手法,一是新增 ESXi Admin 群組,二是將原有群組重新命名為 ESXi Admin,或是管理員改用其他群組來管理,但未將 ESXi Admin 群組權限關閉。微軟發現,今年以來多個勒索軟體組織使用第一種方法發動攻擊,包括 Storm-0506 、 Storm-1175 、 Octo Tempest 和 Manatee Tempest,植入 Akira 、 Black Basta 、 Babuk 、 Lockbit 和 Kuiper 等勒索軟體。
濫用本漏洞後的惡意程式可加密 VMWare ESXi hypervisor 的檔案系統,影響代管主機的執行和運作,竊取代管 VM 上的資料、或在受害者網路橫向移動。微軟事件回應團隊指出,三年來他們處理和 ESXi hypervisor 有關的攻擊增加了 2 倍。
微軟建議企業使用連結網域的 ESXi hypervisor 的企業組織,應儘速更新到最新版本。此外,由於攻擊者一開始會設法取得 ESXi hypervisor 管理員密碼,微軟建議用戶啟用多因素驗證、使用無密碼驗證方法,像是使用指紋驗證、 FIDO 裝置或 Microsoft Authenticator 等。
來源:SecurityWeek