微軟研究人員發現VMware ESXi一個早先修補的驗證繞過漏洞,遭到多個操作勒索軟體的駭客組織濫用,呼籲管理員應儘速更新到最新版本,並強化安全措施。
遭到駭客濫用的VMware ESXi漏洞為CVE-2024-37085,漏洞風險值6.8,影響ESXi 7、8和VMware Cloud Foundation 4.x及5.x。擁有VMware的博通(Broadcom)上個月才發布安全公告及軟體更新,解決該瑕疵在內的三個軟體漏洞。但針對ESXi 7與與VMware Cloud Foundation 4.x版本,VMware並不打算修補,但他們在公告提到的KB369707文件,裡面列出修補漏洞的設定方式,完成這些修改後,不須重新開機。
CVE-2024-37085為一驗證繞過漏洞。根據博通描述,由於ESXi沒有啟動適當驗證,讓擁有足夠Active Directory(AD)權限的攻擊者得以濫用該漏洞,先刪除某個具備用戶管理權限的AD群組(即ESXi管理員群組)後再重建,使這新AD群組的成員(如駭客組織)取得ESXi主機完整的存取權,即管理員權限。
CVE-2024-37085的濫用手法有三種,包括在AD網域新增「ESX Admins」群組、將現有AD網域群組重新命名為「ESX Admins」後新增用戶,或是當管理員透過ESXi hypervisor權限更新提升了其他群組權限,但忘了將原「ESX Admins」管理權限關閉,因而給了攻擊者濫用機會。
微軟發現,去年多個勒索軟體操作組織,包括Storm-0506、Storm-1175、Octo Tempest和Manatee Tempest利用第一種手法,針對本漏洞發動多次攻擊以部署勒索軟體,包括Akira、Black Basta、Babuk、Lockbit和Kuiper。成功濫用漏洞後,攻擊者得以加密VMware ESXi hypervisor的檔案系統,影響代管主機的執行和運作,或是存取代管VM,藉此竊取資料、或在網路上橫向移動。
微軟建議使用連結網域的ESXi hypervisor的企業組織,應儘速更新到最新版本。此外,由於攻擊者一開始會設法取得ESXi hypervisor管理員密碼,微軟建議用戶啟用多因素驗證、使用無密碼驗證法(如使用指紋驗證、FIDO裝置或Microsoft Authenticator),並且將管理員帳號和其他用戶帳號有效隔離。最後,為防範勒索軟體加密ESXi hypervisor和vCenter,研究人員建議企業升級安全軟體並做好備份。
熱門新聞
2024-12-10
2024-11-29
2024-12-10
2024-12-11
2024-12-10
2024-12-08