VMware ESXi驗證繞過漏洞遭駭客濫用散布勒索軟體

微軟研究人員發現VMware ESXi一個早先修補的驗證繞過漏洞，遭到多個操作勒索軟體的駭客組織濫用，呼籲管理員應儘速更新到最新版本，並強化安全措施。

遭到駭客濫用的VMware ESXi漏洞為CVE-2024-37085，漏洞風險值6.8，影響ESXi 7、8和VMware Cloud Foundation 4.x及5.x。擁有VMware的博通（Broadcom）上個月才發布安全公告及軟體更新，解決該瑕疵在內的三個軟體漏洞。但針對ESXi 7與與VMware Cloud Foundation 4.x版本，VMware並不打算修補，但他們在公告提到的KB369707文件，裡面列出修補漏洞的設定方式，完成這些修改後，不須重新開機。

CVE-2024-37085為一驗證繞過漏洞。根據博通描述，由於ESXi沒有啟動適當驗證，讓擁有足夠Active Directory（AD）權限的攻擊者得以濫用該漏洞，先刪除某個具備用戶管理權限的AD群組（即ESXi管理員群組）後再重建，使這新AD群組的成員（如駭客組織）取得ESXi主機完整的存取權，即管理員權限。

CVE-2024-37085的濫用手法有三種，包括在AD網域新增「ESX Admins」群組、將現有AD網域群組重新命名為「ESX Admins」後新增用戶，或是當管理員透過ESXi hypervisor權限更新提升了其他群組權限，但忘了將原「ESX Admins」管理權限關閉，因而給了攻擊者濫用機會。

微軟發現，去年多個勒索軟體操作組織，包括Storm-0506、Storm-1175、Octo Tempest和Manatee Tempest利用第一種手法，針對本漏洞發動多次攻擊以部署勒索軟體，包括Akira、Black Basta、Babuk、Lockbit和Kuiper。成功濫用漏洞後，攻擊者得以加密VMware ESXi hypervisor的檔案系統，影響代管主機的執行和運作，或是存取代管VM，藉此竊取資料、或在網路上橫向移動。

微軟建議使用連結網域的ESXi hypervisor的企業組織，應儘速更新到最新版本。此外，由於攻擊者一開始會設法取得ESXi hypervisor管理員密碼，微軟建議用戶啟用多因素驗證、使用無密碼驗證法（如使用指紋驗證、FIDO裝置或Microsoft Authenticator），並且將管理員帳號和其他用戶帳號有效隔離。最後，為防範勒索軟體加密ESXi hypervisor和vCenter，研究人員建議企業升級安全軟體並做好備份。