多个勒索软件组织一直在利用 VMware ESXi 虚拟机管理程序中的身份验证绕过漏洞,以在虚拟化环境中快速部署恶意软件。VMware 在 CVSS 量表上为该漏洞 (CVE-2024-37085) 打了“中”6.8 分(满分 10 分)。平均分数很大程度上是因为它要求攻击者在目标的 Active Directory (AD) 中拥有现有权限。但是,如果他们确实具有 AD 访问权限,攻击者可能会造成重大损害。无需任何技术诡计,他们就可以使用 CVE-2024-37085 立即将其 ESXi 权限扩展到最大,从而为勒索软件部署、数据泄露、横向移动等打开大门。Storm-0506(又名 Black Basta)、Storm-1175、Manatee Tempest(Evil Corp 的一部分)和 Octo Tempest(又名 Scattered Spider)等组织已经尝试过,部署了 Black Basta 和 Akira 等勒索软件。博通(Broadcom)最近在其网站上发布了一个修复程序。CVE-2024-37085 的工作原理某些组织将其 ESXi 虚拟机管理程序配置为使用 AD 进行用户管理。事实证明,通过这样做,组织将自己暴露在意想不到的事情中。默认情况下,ESXi 虚拟机管理程序向名为“ESX Admins”的 AD 域组的任何成员授予完全管理访问权限。正如 Microsoft 在一篇博客文章中指出的那样,没有特别的理由说明为什么虚拟机管理程序应该期待这样的域组,或者有关于如何处理它的规则。“此组不是 Active Directory 中的内置组,默认情况下不存在。当服务器加入域时,ESXi 虚拟机监控程序不会验证此类组是否存在,并且仍然以完全管理访问权限对待具有此名称的组的任何成员,即使该组最初不存在,“威胁情报团队写道。“此外,组中的成员身份由名称确定,而不是由安全标识符 (SID) 确定。”Dark Reading 已联系 Broadcom,询问这个问题最初是如何产生的。利用 CVE-2024-37085 完全是微不足道的。只要攻击者在 AD 中拥有足够的权限,他们只需在目标域中创建一个“ESX 管理员”组并向其添加用户,即可获得 ESXi 管理员权限。他们还可以将任何现有组重命名为“ESX Admins”,并使用其现有用户之一或添加新用户。虚拟机管理程序的风险“针对 ESXi 和虚拟机的勒索软件攻击越来越普遍,尤其是自 2020 年左右以来,当时企业加大了数字化转型的步伐,并利用了现代混合云和虚拟化本地环境,“Sectigo 产品高级副总裁 Jason Soroko 解释道。尽管虚拟化环境具有所有的商业意义,但它也为黑客提供了独特的好处。虚拟机管理程序倾向于同时运行多个虚拟机,这使它们成为尽可能广泛地攻击勒索软件的一站式商店,而这些虚拟机通常托管关键服务和业务数据。正如Microsoft在其博客中指出的那样,它们对黑客的效用使得更加令人不安的是,安全产品对虚拟机监控程序的可见性和保护有限。索罗科解释说,这是“由于他们的孤立性、复杂性以及保护他们所需的专业知识。这种隔离使得传统的安全工具难以监控和保护整个环境,而API集成的限制进一步加剧了这个问题。为了弥补这些缺点,Microsoft 强调了及时更新补丁的重要性,并围绕关键和易受攻击的资产实施更广泛的网络卫生。Soroko 指出:“攻击者喜欢使用阻力最小的路径,以提供最大的机会,”他补充说,勒索软件攻击者将来只会越来越多地针对这些系统。
