CVE-2024-37085 - VMware EXSi
Partekatu
Uztailaren 30ean, Microsoft-ek artikulu bat argitaratu zuen mehatxuen adimenaren blogean ahultasun berri baten aurkikuntzaz ohartaraziz. Horrek VMware-ren EXSi hiperbissoreei eragiten die eta horretaz baliatu diren hainbat ransomware talde eragile detektatu dituztela diote.
Ahultasun-analisia
CVE-2024-37085 gisa identifikatu da eta VMware EXSi hipervisoreei eragiten dien Active Directory integrazioaren autentifikazioaren saihespen ahultasun bat da.
ESXi hipervisoreek sare batean zerbitzari kritikoak sar ditzaketen makina birtualak hartzen dituzte. Ransomware-aren eraso batean, ESXi hipervisor batean administrazio-baimen osoa izateak agente gaiztoak fitxategi-sistema enkriptatu dezakeela esan nahi du, eta horrek ostatatutako zerbitzariek exekutatzeko eta funtzionatzeko duten gaitasuna eragin dezake. Erasotzaileari ostatatutako makina birtualetan sartzeko aukera ere ematen dio eta, ziurrenik, datuak kanporatzea edo sarean alde batera mugitzea.
Kontuan izan behar da ESXi ez dela Internetera jasan behar, beraz, erasotzaileek xede-ingurunerako sarbidea izan behar dute aldez aurretik ahultasuna ustiatu eta pribilegioak areagotu ahal izateko.
Hainbat ransomware operadore, hala nola Storm-0506, Storm-1175, Octo Tempest eta Manatee Tempest, Akira eta Black Basta izenez ezagutzen den ransomwarea zabaltzen ari dira beren erasoetan. Eraso-teknikak komando hauek ditu:
net taldea "ESX Admins" /domeinua /gehitu
net taldea "ESX Admins" erabiltzaile-izena / domeinua / gehitzea
- "ESX Admins" taldea domeinuari gehitzea eta erabiltzaile bat gehitzea: metodo hau aktiboki ustiatzen dute goian aipatutako mehatxu-eragileek. Metodo honetan, "ESX Admins" taldea existitzen ez bada, talde bat sortzeko gaitasuna duen domeinuko edozein erabiltzailek pribilegioak eska ditzake domeinuan sartutako ESXi hipervisoreetarako administrazio-sarbide osoa lortzeko, talde hori sortuz eta gero gehituz. beraiek edo zure kontrolpean dauden beste erabiltzaile batzuk taldera.
- Domeinuko edozein talderi izena aldatu "ESX Administratzaileak" eta gehitu erabiltzaile bat taldean edo erabili taldean dagoen kide bat: Metodo hau lehenaren antzekoa da, baina kasu honetan mehatxu-eragileak erabiltzaile bat behar du erabiltzeko gaitasuna duena. izena aldatu talde arbitrario batzuei eta "ESX Administratzaileak" izena jarri horietako bati. Mehatxu-eragileak erabiltzaile bat gehi dezake edo taldean dagoeneko existitzen den erabiltzailea erabil dezake pribilegioak administrazio-sarbide osora igotzeko. Microsoft-ek ez zuen metodo hau praktikan ikusi.
- ESXi hipervisorearen pribilegioen eguneratzea: sareko administratzaileak domeinuko beste edozein talde ESXi hipervisorearen kudeaketa-talde gisa esleitzen badu ere, "ESX Administratzaileak" taldeko kideen administrazio-pribilegio osoak ez dira berehala kentzen eta segurtasun-eragileen mehatxuek gehiegikeriak egin ditzakete. Microsoft-ek ez zuen metodo hau praktikan ikusi.
Arintzeko Orientabidea
- VMware ESXi 8.0 (ESXi80U3-24022510-n konponduta)
- VMware ESXi 7.0 (ez da adabakirik aurreikusi)
- VMware Cloud Foundation 5.x (5.2ra zuzenduta)
- VMware Cloud Foundation 4.x (ez da adabakirik aurreikusi)
- Ezin baduzu softwarea eguneratu, honako gomendio hauek jarraitu ditzakezu arriskua murrizteko:
- Egiaztatu "ESX Admins" taldea domeinuan dagoela eta babestuta dagoela.
- Eskuz ukatu talde honetarako sarbidea ESXi hipervisorean bertan konfigurazioa aldatuz. Ez baduzu nahi Active Directory ESX administratzaileen taldeak administratzaileen sarbide osoa izan dezan, portaera hau desgai dezakezu ostalariaren ezarpen aurreratuak erabiliz:
'Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd'.
- Aldatu kudeaketa taldea ESXi hipervisorean beste talde batera.
- Gehitu detekzio pertsonalizatuak XDR/SIEM-n talde-izen berrirako.
- Konfiguratu ESXi erregistroak SIEM sistema batera bidaltzea eta kontrolatu administrazio-sarbide osoa susmagarria bada.
- Kredentzialaren saneamendua: ahultasun-metodo desberdinak erabiltzeko, mehatxu-eragileek erakundeko erabiltzaile altu bat kontrolatu behar dute. Hori dela eta, gure gomendioa zure erakundeko goi-kontuak babesten dituzula ziurtatzea da, batez ere beste domeinu-talde batzuk kudea ditzaketenak:
- Ezarri faktore anitzeko autentifikazioa (MFA) kontu guztietan, kendu MFAtik kanpo geratzen diren erabiltzaileak eta zorrotz bete MFA gailu guztietan, kokapen guztietan, beti.
- Gaitu pasahitzik gabeko autentifikazio-metodoak (adibidez, Windows Hello, FIDO gakoak edo Microsoft Authenticator) pasahitz gabeko autentifikazioa onartzen duten kontuetarako. Oraindik pasahitzak behar dituzten kontuetarako, erabili autentifikazio-aplikazioak, adibidez, Microsoft Authenticator MFArako.
- Isolatu pribilegiatu kontuak produktibitate-kontuetatik administrazio-sarbidea babesteko.
- Hobetu aktibo kritikoen jarrera: identifikatu zure aktibo kritikoak sarean, hala nola, ESXi hipervisoreak eta vCenters (VMware vSphere inguruneak kontrolatzeko plataforma zentralizatua), eta ziurtatu segurtasun-eguneratze berrienekin babesten dituzula, babeskopia eta berreskuratze-plan egokiak kontrolatzeko prozedurak. .
- Identifikatu aktibo ahulak: Ezar ezazu sareko gailuen eskaneaketa autentifikatu SNMP erabiliz Microsoft Defender atariaren bidez, sareko gailuetako ahuleziak identifikatzeko, esate baterako, ESXi eta segurtasun-gomendioak jasotzeko.