VMware parchó una vulnerabilidad en el hipervisor ESXi la semana pasada, pero Microsoft ha revelado que ya ha sido explotada por grupos de ransomware para obtener permisos administrativos.
VMware ESXi es un hipervisor básico que permite la creación y administración de máquinas virtuales directamente en el hardware del servidor, que puede incluir servidores críticos. CVE-2024-37085 es una vulnerabilidad de omisión de autenticación que permite a actores malintencionados con permisos suficientes obtener acceso completo a un host ESXi unido a un dominio.
El problema surge cuando el grupo configurado de Active Directory se elimina y se vuelve a crear, ya que cualquier usuario agregado a un nuevo grupo llamado “Administradores de ESX” tendrá privilegios de administrador de forma predeterminada. Un grupo de dominio también puede cambiarse de nombre simplemente a “Administradores de ESX”, y cualquier miembro nuevo o existente tendrá privilegios administrativos.
Pero para explotar CVE-2024-37085, el hacker necesita acceso privilegiado al entorno de Active Directory, que debe haber obtenido mediante un ciberataque previamente exitoso. La organización también debe haber unido su host ESXi a Active Directory para fines de administración de usuarios, lo que muchos hacen por conveniencia.
Broadcom, el propietario de VMware, lanzó varias correcciones para los dispositivos afectados entre el 25 de junio y el 25 de julio. La vulnerabilidad afecta a las versiones 7.0 y 8.0 de ESXi y a las versiones 4.x y 5.x de VMware Cloud Foundation, pero los parches solo se implementaron para ESXi. 8.0 y VMware Cloud Foundation 5.x. Tiene una puntuación de gravedad CVSS relativamente baja de 6,8.
Sin embargo, el 29 de julio, el equipo de Threat Intelligence de Microsoft publicó un informe que afirma que CVE-2024-37085 ha sido explotado por grupos de ransomware como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest, y condujo al ransomware Akira y Black Basta. implementaciones. Estas explotaciones en la naturaleza no se mencionaron en el aviso de Broadcom.
VER: Black Basta Ransomware afectó a más de 500 organizaciones en todo el mundo
Microsoft dijo: “En un ataque de ransomware, tener permiso administrativo completo en un hipervisor ESXi puede significar que el actor de la amenaza puede cifrar el sistema de archivos, lo que puede afectar la capacidad de ejecución y funcionamiento de los servidores alojados. También permite que el actor de amenazas acceda a las máquinas virtuales alojadas y posiblemente extraiga datos o se mueva lateralmente dentro de la red”.
Cómo los malos actores explotaron CVE-2024-37085
CVE-2024-37085 proviene de hipervisores ESXi unidos a un dominio de Active Directory que otorgan automáticamente acceso administrativo completo a cualquier miembro de un grupo de dominio denominado “Administradores de ESX”.
Un grupo de este tipo no existe de forma predeterminada, pero los ciberdelincuentes pueden crear uno fácilmente con el comando “net group ‘ESX Admins’ /domain /add”. La membresía a este grupo también está determinada por el nombre y no por el identificador de seguridad (SID), por lo que agregar un miembro también es trivial.
“Cualquier usuario de dominio con la capacidad de crear un grupo puede escalar privilegios a acceso administrativo completo a los hipervisores ESXi unidos al dominio creando dicho grupo y luego agregándose a sí mismo o a otros usuarios bajo su control al grupo”, escribieron los investigadores de Microsoft. .
Según Microsoft, los ciberdelincuentes podrían explotar CVE-2024-37085 realizando una de las siguientes acciones:
- Crear un grupo de Active Directory llamado “Administradores de ESX” y agregarle un usuario. Esta es la única técnica que se ve utilizada en la naturaleza.
- Cambiar el nombre de cualquier grupo en el dominio a “Administradores de ESX” y agregar un usuario al grupo o utilizar un miembro del grupo existente.
- Aprovechando el hecho de que incluso si el administrador de red asigna otro grupo en el dominio para administrar ESXi, los miembros de “Administradores de ESXi” aún conservan sus privilegios de administrador por un período de tiempo.
Microsoft afirma que la cantidad de compromisos de respuesta a incidentes que involucran la orientación y el impacto de los hipervisores ESXi se han más que duplicado en los últimos tres años. Sugiere que se han convertido en objetivos populares porque muchos productos de seguridad tienen visibilidad y protección limitadas para un hipervisor ESXi y que sus sistemas de archivos permiten el cifrado masivo con un solo clic.
Varios grupos de ransomware como servicio han desarrollado malware específico para ESXi desde 2021, incluidos Royal, Play, Cheers y TargetCompany.
VER: Hoja de referencia sobre ransomware: todo lo que necesita saber en 2024
A principios de este año, Storm-0506 intentó implementar el ransomware Black Basta en el sistema de una empresa de ingeniería norteamericana anónima utilizando la vulnerabilidad CVE-2024-37085. El grupo obtuvo acceso inicial a través de una infección Qakbot y luego aprovechó una vulnerabilidad de escalada de privilegios CLFS de Windows. Luego, los piratas informáticos utilizaron la herramienta Pypykatz para robar las credenciales de los controladores de dominio antes de tomar otras medidas para establecer un acceso persistente.
Finalmente, el grupo utilizó la vulnerabilidad CVE-2024-37085 para obtener privilegios elevados para los hipervisores ESXi. Microsoft observó que el actor de amenazas creó un grupo de “Administradores de ESX” y le agregó un nuevo usuario antes de cifrar el sistema de archivos ESXi y apoderarse de las máquinas virtuales alojadas en el hipervisor ESXi.
Recomendaciones para operadores de VMware ESXi
- Instale las últimas actualizaciones de software publicadas por VMWare en todos los hipervisores ESXi unidos a un dominio.
- Emplee una buena higiene de credenciales para evitar que los actores de amenazas accedan a la cuenta privilegiada necesaria para explotar CV-2024-37085. Utilice autenticación multifactor, métodos de autenticación sin contraseña y aplicaciones de autenticación, y aísle las cuentas privilegiadas de las cuentas de productividad.
- Identifique activos críticos, como hipervisores ESXi y vCenters, y asegúrese de que tengan las últimas actualizaciones de seguridad, procedimientos de monitoreo adecuados y planes de respaldo y recuperación.
- Identifique vulnerabilidades en dispositivos de red mediante escaneo mediante SNMP y reciba recomendaciones de seguridad.