Krytyczna luka typu zero-day związana z obejściem uwierzytelniania w VMware ESXi wykorzystywana przez operatorów ransomware. Łatajcie

Microsoft zwrócił niedawno uwagę na aktywne wykorzystywanie CVE-2024-37085, krytycznej luki w zabezpieczeniach hiperwizorów VMware ESXi firmy Broadcom.

Organizacja CISA dodała ją do katalogu KEV.

Nasilające się ataki na VMWare

Ostatnio dużo się dzieje w kwestii bezpieczeństwa VMWare. Pod koniec lipca pisaliśmy o tym, jak grupa ransomware Play atakuje serwery ESXi i dlaczego zabezpieczenie tych serwerów jest istotne z punktu widzenia bezpieczeństwa.

Microsoft zaobserwował wzrost ataków ransomware na hiperwizory ESXi w ciągu ostatniego roku. Gigant technologiczny twierdzi, że hiperwizory te są atrakcyjnymi celami ze względu na ograniczoną widoczność i ochronę ze strony wielu produktów zabezpieczających. Świadczy o tym chociażby przykład jednego z wątków na forum dark web, dotyczącego sprzedaży sposobu na uzyskanie nieautoryzowanego dostępu do powłoki ESXi. Cena exploita to 1,5 mln USD!

W ostatnich dniach pojawiła się również nowa krytyczna luka zero-day. Poniżej prezentujemy szczegóły.

Co wiemy o nowej luce w zabezpieczeniach?

Odkryta luka otrzymała numer CVE-2024-37085. Wynika z integracji z usługą Active Directory i umożliwia grupom cyberprzestępców przeprowadzanie ataków typu zero-day oraz uzyskanie pełnej kontroli administracyjnej nad hiperwizorami ESXi przyłączonymi do domeny. Operatorzy oprogramowania ransomware wykorzystują ją do ominięcie uwierzytelniania, aby uzyskać do nich pełny dostęp administracyjny i zaszyfrować ich system plików.

Szczegóły na temat luki CVE-2024-37085

ESXi to hiperwizor typu bare-metal, który instaluje się bezpośrednio na serwerze fizycznym, zapewniając bezpośredni dostęp i kontrolę nad jego podstawowymi zasobami. Hiperwizory ESXi hostują maszyny wirtualne, w tym serwery krytyczne dla sieci. W związku z tym, dzięki dostępowi administracyjnemu uzyskanemu poprzez wykorzystanie luki, atakujący mogą doprowadzić do rozległych uszkodzeń w sieci.

Operatorzy ransomware stosują zmodyfikowane wersje programów szyfrujących na Linuksie, takich jak Akira, Black Basta, Babuk, Lockbit i inne, aby szyfrować maszyny wirtualne VMware ESXi. Wykorzystując luki w zabezpieczeniach ESXi, takie jak CVE-2024-37085, mogą łatwo szyfrować wiele maszyn wirtualnych jednocześnie.

Szyfrowanie systemu plików hiperwizora ESXi umożliwia atakującym wykonanie masowego szyfrowania za pomocą jednej akcji, co ma wpływ na wszystkie hostowane maszyny wirtualne. Metoda ta zapewnia atakującym więcej czasu i możliwości poruszania się poziomo i kradzieży poświadczeń w sieci.

Zgodnie z analizą Microsoftu grupy ransomware takie jak Storm-0506, Storm-1175, Manatee Tempest i Octo Tempest używają luki CVE-2024-37085 po uzyskaniu dostępu do kontrolerów domeny AD przez naruszenie poświadczeń administratorów domeny. Następnie tworzą w domenie grupę o nazwie „ESX Admins” i dodają do niej użytkownika, co automatycznie przyznaje temu użytkownikowi (czyli osobie stwarzającej zagrożenie) pełne prawa administracyjne do hiperwizora ESXi.

„Grupa ta nie jest domyślnie obecna w Active Directory. Hiperwizory ESXi nie sprawdzają istnienia takiej grupy podczas dołączania serwera do domeny, co oznacza, że każdy członek grupy o nazwie 'ESX Admins’ otrzymuje pełny dostęp administracyjny, nawet jeśli grupa wcześniej nie istniała. Członkostwo w grupie jest określane na podstawie nazwy, a nie identyfikatora zabezpieczeń (SID)” – zauważają badacze Microsoftu.

Odkryto także, że można osiągnąć ten sam efekt, zmieniając nazwę dowolnej grupy w domenie na „ESX Admins” i dodając do niej użytkownika, co automatycznie przyznaje temu użytkownikowi pełny dostęp administracyjny do hiperwizora ESXi.

Przebieg ataku opisuje poniższa grafika:

Co można zrobić w tej sytuacji?

Luka CVE-2024-37085 została naprawiona w aktualizacji ESXi 8.0 Update 3 oraz VMware Cloud Foundation 5.2. Jednakże dla wersji ESXi 7.0 i VMware Cloud Foundation v4.x nie przewidziano oficjalnej poprawki, choć dostępne jest obejście.

Administratorom zaleca się niezwłoczne zaktualizowanie swoich instalacji oraz monitorowanie wszelkich podejrzanych zmian w grupie ESX Admins lub nieautoryzowanego utworzenia takiej grupy.

Na koniec zamieszczamy kilka ciekawych porad dotyczących bezpieczeństwa infrastruktury VMWare.

• Monitorowanie i odpowiednie zabezpieczenie Active Directory: w tym konkretnym przypadku możliwość utworzenia grupy ESX Admins w Active Directory (lub zmiany dowolnej innej na ESX Admins) stwarza atakującym szerokie pole do działania, bo dzięki temu uzyskują pełny dostęp administracyjny do hiperwizorów ESXi. To z kolei pozwala im na uzyskanie dostępu do hostowanych maszyn wirtualnych, co umożliwia nie tylko zaszyfrowanie systemu plików, ale także kradzież danych z tych maszyn. O zabezpieczeniu Active Directory pisaliśmy w kampanii CYBER KILL CHAIN oraz Active Directory Persistence.
• Monitorowanie grup i audyt zmian: regularne monitorowanie zmian w grupach administracyjnych, takich jak ESX Admins, jest kluczowe. Wczesne wykrycie nieautoryzowanych modyfikacji może zapobiec eskalacji ataków.
• Alternatywne strategie zabezpieczeń: oprócz aktualizacji systemów administratorzy mogą wdrożyć dodatkowe środki bezpieczeństwa, takie jak segmentacja sieci, wielopoziomowe uwierzytelnianie (MFA) oraz regularne audyty bezpieczeństwa, aby zmniejszyć ryzyko nieautoryzowanego dostępu.
• Znaczenie szkoleń: edukowanie personelu IT o najnowszych zagrożeniach i technikach używanych przez cyberprzestępców jest nieodzowne. Wiedza o tym, jak rozpoznawać podejrzane działania i reagować na nie, może znacząco podnieść poziom bezpieczeństwa organizacji.

Zachęcamy również do lektury artykułu na temat Zero Trust.