CVE-2024-37085 - VMware EXSi

CVE-2024-37085 - VMware EXSi

Celia Catalán


El 30 de juliol passat, Microsoft va publicar un article al seu bloc d'intel·ligència d'amenaces on alertava del descobriment d'una nova vulnerabilitat. Aquesta afecta els hipervisors EXSi de VMware i asseguren que han detectat diversos grups operadors de ransomware que se n'han aprofitat.

Anàlisi de la vulnerabilitat

Ha estat identificada com a CVE-2024-37085 i és una vulnerabilitat d'omissió d'autenticació d'integració d'Active Directory que afecta els hipervisors VMware EXSi. 

Els hipervisors ESXi allotgen màquines virtuals que poden incloure servidors crítics a una xarxa. En un atac de ransomware, tenir permís administratiu complet en un hipervisor ESXi pot significar que l'agent maliciós pot xifrar el sistema de fitxers, cosa que pot afectar la capacitat dels servidors allotjats per executar-se i funcionar. També permet a l'atacant accedir a les màquines virtuals allotjades i possiblement exfiltrar dades o moure's lateralment dins la xarxa.

Cal destacar que ESXi no hauria d'estar exposat a internet, i per això els atacants han de tenir accés previ a l'entorn de destinació per poder explotar la vulnerabilitat i escalar privilegis.

Diversos operadors de ransomware com Storm-0506, Storm-1175, Octo Tempest i Manatee Tempest estan implementant en els seus atacs els ransomware coneguts com Akira i Black Basta. La tècnica d'atac inclou les ordres següents:



Terminal

                grup net "Administradors ESX" /domini /add
		nom d'usuari / domini / add del grup net "Administradors d'ESX".


      
L'anàlisi detallada de l'atac va revelar que els hipervisors VMware ESXi, units a un domini d'Active Directory, consideren que qualsevol membre d'un grup de domini anomenat “Administradors d'ESX” té accés administratiu complet per defecte. Aquest grup no és un grup integrat a Active Directory i no existeix per defecte. Els hipervisors ESXi no validen l'existència del grup quan el servidor s'uneix a un domini i segueixen tractant qualsevol membre d'un grup amb aquest nom amb accés administratiu complet, encara que el grup no existia originalment. 

A la investigació es van identificar tres mètodes d'explotació:
  1. Afegir el grup “ESX Admins” al domini i afegir-hi un usuari: aquest mètode és explotat activament pels actors d'amenaces esmentats anteriorment. En aquest mètode, si el grup “ESX Admins” no existeix, qualsevol usuari del domini amb la capacitat de crear un grup pot escalar privilegis a accés administratiu complet als hipervisors ESXi units al domini creant aquest grup i després afegint-se a si mateix oa d'altres usuaris sota el seu control al grup.
  2. Canviar el nom de qualsevol grup del domini a “Administradors d'ESX” i afegir un usuari al grup o fer servir un membre existent del grup: aquest mètode és similar al primer, però en aquest cas l'actor de l'amenaça necessita un usuari que tingui la capacitat de canviar el nom d'alguns grups arbitraris i canviar-ne un a “Administradors d'ESX”. L'actor de l'amenaça pot després afegir un usuari o utilitzar un usuari que ja existeixi al grup per escalar privilegis a accés administratiu complet. Microsoft no va observar aquest mètode a la pràctica.
  3. Actualització de privilegis de l'hipervisor ESXi: fins i tot si l'administrador de xarxa assigna qualsevol altre grup del domini com a grup d'administració de l'hipervisor ESXi, els privilegis administratius complets dels membres del grup “Administradors d'ESX” no s'eliminen immediatament i els actors de amenaces encara podrien abusar-ne. Microsoft no va observar aquest mètode a la pràctica.

L'explotació de la vulnerabilitat permet als atacants amb prou permisos d'Active Directory (AD) obtenir accés complet a un host ESXi, el qual va ser configurat prèviament per utilitzar AD per a l'administració d'usuaris, en recrear el grup AD configurat ('Administradors ESXi ' per defecte) després que va ser eliminat d'Active Directory


Orientació sobre mitigació

Les versions dels productes afectades per aquesta vulnerabilitat són:
  • VMware ESXi 8.0 (corregit a ESXi80U3-24022510)
  • VMware ESXi 7.0 (no hi ha pegats planificats)
  • VMware Cloud Foundation 5.x (corregit a 5.2)
  • VMware Cloud Foundation 4.x (no hi ha pegats planificats)

Per a la mitigació, es recomana aplicar l'actualització de seguretat publicada per VMware, encara que també es recomana seguir les pautes següents:
  • En cas de no poder actualitzar el programari, es poden seguir les recomanacions següents per reduir el risc:
    • Validar que el grup “ESX Admins” existeixi al domini i estigui protegit.
    • Denegueu manualment l'accés a aquest grup modificant la configuració al mateix hipervisor ESXi. Si no voleu que el grup d'administradors d'ESX d'Active Directory tingui accés d'administrador complet, podeu desactivar aquest comportament mitjançant la configuració avançada del host: 

Terminal

                "Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd".


      
    • Canvieu el grup d'administració a un grup diferent a l'hipervisor ESXi.
    • Afegiu deteccions personalitzades a XDR/SIEM per al nou nom de grup.  
    • Configureu l'enviament de registres d'ESXi a un sistema SIEM i monitoreu l'accés administratiu complet sospitós.
  • Sanitització de credencials: per utilitzar els diferents mètodes de vulnerabilitat, els actors d'amenaces necessiten controlar un usuari amb privilegis elevats a l'organització. Per tant, la nostra recomanació és assegurar-se de protegir els comptes amb privilegis elevats a l'organització, especialment aquells que poden administrar altres grups de dominis:
    • Imposeu l'autenticació multifactor (MFA) a tots els comptes, elimineu els usuaris exclosos de la MFA i exigiu estrictament la MFA a tots els dispositius, a totes les ubicacions, sempre.
    • Habiliteu els mètodes d'autenticació sense contrasenya (per exemple, Windows Hello, claus FIDO o Microsoft Authenticator) per als comptes que admetin l'autenticació sense contrasenya. Per als comptes que encara requereixen contrasenyes, utilitzeu aplicacions d'autenticació com ara Microsoft Authenticator per a MFA. 
    • Aïlleu els comptes privilegiats dels comptes de productivitat per protegir l'accés administratiu a l'entorn.
  • Milloreu la posició dels actius crítics: identifiqueu els vostres actius crítics a la xarxa, com els hipervisors ESXi i els vCenters (una plataforma centralitzada per controlar els entorns VMware vSphere), i assegureu-vos de protegir-los amb les últimes actualitzacions de seguretat, els procediments de monitorització adequats i els plans de respatller i recuperació.
  • Identifiqueu actius vulnerables: implementeu escanejats autenticats de dispositius de xarxa mitjançant SNMP a través del portal de Microsoft Defender per identificar vulnerabilitats en dispositius de xarxa com ESXi i rebre recomanacions de seguretat.

Conclusió

A banda de totes aquestes pautes, l'empresa Broadcom (propietari de VMware) va avisar de la vulnerabilitat en un comunicat, en què inclou un enllaç a una solució alternativa que modifica diverses configuracions avançades d'ESXi perquè siguin més segures; la pàgina de la solució alternativa assenyala que per a totes les versions d'ESXi (anteriors a ESXi 8.0 U3), diverses configuracions avançades d'ESXi tenen valors predeterminats que no són segurs per defecte. Al grup d'AD “Administradors d'ESX” se li assigna automàticament el rol d'administrador de VIM quan un host ESXi s'uneix a un domini d'Active Directory”.

Javier Muñoz , analista de ciberseguretat a Zerolynx
Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.