CVE-2024-37085 - VMware EXSi

2024(e)ko irailaren 23(a) Celia Catalán

Uztailaren 30ean, Microsoft-ek artikulu bat argitaratu zuen mehatxuen adimenaren blogean ahultasun berri baten aurkikuntzaz ohartaraziz. Horrek VMware-ren EXSi hiperbissoreei eragiten die eta horretaz baliatu diren hainbat ransomware talde eragile detektatu dituztela diote.

Ahultasun-analisia

CVE-2024-37085 gisa identifikatu da eta VMware EXSi hipervisoreei eragiten dien Active Directory integrazioaren autentifikazioaren saihespen ahultasun bat da.

ESXi hipervisoreek sare batean zerbitzari kritikoak sar ditzaketen makina birtualak hartzen dituzte. Ransomware-aren eraso batean, ESXi hipervisor batean administrazio-baimen osoa izateak agente gaiztoak fitxategi-sistema enkriptatu dezakeela esan nahi du, eta horrek ostatatutako zerbitzariek exekutatzeko eta funtzionatzeko duten gaitasuna eragin dezake. Erasotzaileari ostatatutako makina birtualetan sartzeko aukera ere ematen dio eta, ziurrenik, datuak kanporatzea edo sarean alde batera mugitzea.

Kontuan izan behar da ESXi ez dela Internetera jasan behar, beraz, erasotzaileek xede-ingurunerako sarbidea izan behar dute aldez aurretik ahultasuna ustiatu eta pribilegioak areagotu ahal izateko.

Hainbat ransomware operadore, hala nola Storm-0506, Storm-1175, Octo Tempest eta Manatee Tempest, Akira eta Black Basta izenez ezagutzen den ransomwarea zabaltzen ari dira beren erasoetan. Eraso-teknikak komando hauek ditu:

Terminala


                net taldea "ESX Admins" /domeinua /gehitu
		net taldea "ESX Admins" erabiltzaile-izena / domeinua / gehitzea

Erasoaren azterketa zehatzak agerian utzi zuen Active Directory domeinu batean sartutako VMware ESXi hipervisorek "ESX Administrators" izeneko domeinu-talde bateko edozein kidetzat hartzen dutela lehenespenez administrazio-sarbide osoa duela. Talde hau ez da Active Directory-n integratutako talde bat eta ez dago lehenespenez. ESXi hipervisorek ez dute talde horren existentzia balioztatzen zerbitzaria domeinu batean sartzen denean eta izen hori duen talde bateko edozein kide administratibo sarbide osoarekin tratatzen jarraitzen dute, nahiz eta hasiera batean taldea existitzen ez izan.

Ikerketan hiru ustiapen-metodo identifikatu ziren:

"ESX Admins" taldea domeinuari gehitzea eta erabiltzaile bat gehitzea: metodo hau aktiboki ustiatzen dute goian aipatutako mehatxu-eragileek. Metodo honetan, "ESX Admins" taldea existitzen ez bada, talde bat sortzeko gaitasuna duen domeinuko edozein erabiltzailek pribilegioak eska ditzake domeinuan sartutako ESXi hipervisoreetarako administrazio-sarbide osoa lortzeko, talde hori sortuz eta gero gehituz. beraiek edo zure kontrolpean dauden beste erabiltzaile batzuk taldera.
Domeinuko edozein talderi izena aldatu "ESX Administratzaileak" eta gehitu erabiltzaile bat taldean edo erabili taldean dagoen kide bat: Metodo hau lehenaren antzekoa da, baina kasu honetan mehatxu-eragileak erabiltzaile bat behar du erabiltzeko gaitasuna duena. izena aldatu talde arbitrario batzuei eta "ESX Administratzaileak" izena jarri horietako bati. Mehatxu-eragileak erabiltzaile bat gehi dezake edo taldean dagoeneko existitzen den erabiltzailea erabil dezake pribilegioak administrazio-sarbide osora igotzeko. Microsoft-ek ez zuen metodo hau praktikan ikusi.
ESXi hipervisorearen pribilegioen eguneratzea: sareko administratzaileak domeinuko beste edozein talde ESXi hipervisorearen kudeaketa-talde gisa esleitzen badu ere, "ESX Administratzaileak" taldeko kideen administrazio-pribilegio osoak ez dira berehala kentzen eta segurtasun-eragileen mehatxuek gehiegikeriak egin ditzakete. Microsoft-ek ez zuen metodo hau praktikan ikusi.

Ahultasuna ustiatzeak Active Directory (AD) baimen nahikoa duten erasotzaileei ESXi ostalari batera sarbide osoa lortzeko aukera ematen die, aurrez AD erabiltzeko konfiguratuta zegoen erabiltzaileen kudeaketarako, konfiguratutako AD taldea ('ESXi Administratzaileak' lehenespenez) birsortuz gero. Active Directory-tik kendu da

Arintzeko Orientabidea

Ahultasun honek kaltetutako produktuen bertsioak hauek dira:

VMware ESXi 8.0 (ESXi80U3-24022510-n konponduta)
VMware ESXi 7.0 (ez da adabakirik aurreikusi)
VMware Cloud Foundation 5.x (5.2ra zuzenduta)
VMware Cloud Foundation 4.x (ez da adabakirik aurreikusi)

Arintzeko, VMware-k argitaratutako segurtasun-eguneratzea aplikatzea gomendatzen da, nahiz eta jarraibide hauek jarraitzea ere gomendatzen den:

Ezin baduzu softwarea eguneratu, honako gomendio hauek jarraitu ditzakezu arriskua murrizteko:

Egiaztatu "ESX Admins" taldea domeinuan dagoela eta babestuta dagoela.
Eskuz ukatu talde honetarako sarbidea ESXi hipervisorean bertan konfigurazioa aldatuz. Ez baduzu nahi Active Directory ESX administratzaileen taldeak administratzaileen sarbide osoa izan dezan, portaera hau desgai dezakezu ostalariaren ezarpen aurreratuak erabiliz:

Terminala


                'Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd'.

Aldatu kudeaketa taldea ESXi hipervisorean beste talde batera.
Gehitu detekzio pertsonalizatuak XDR/SIEM-n talde-izen berrirako.
Konfiguratu ESXi erregistroak SIEM sistema batera bidaltzea eta kontrolatu administrazio-sarbide osoa susmagarria bada.

Kredentzialaren saneamendua: ahultasun-metodo desberdinak erabiltzeko, mehatxu-eragileek erakundeko erabiltzaile altu bat kontrolatu behar dute. Hori dela eta, gure gomendioa zure erakundeko goi-kontuak babesten dituzula ziurtatzea da, batez ere beste domeinu-talde batzuk kudea ditzaketenak:

Ezarri faktore anitzeko autentifikazioa (MFA) kontu guztietan, kendu MFAtik kanpo geratzen diren erabiltzaileak eta zorrotz bete MFA gailu guztietan, kokapen guztietan, beti.
Gaitu pasahitzik gabeko autentifikazio-metodoak (adibidez, Windows Hello, FIDO gakoak edo Microsoft Authenticator) pasahitz gabeko autentifikazioa onartzen duten kontuetarako. Oraindik pasahitzak behar dituzten kontuetarako, erabili autentifikazio-aplikazioak, adibidez, Microsoft Authenticator MFArako.
Isolatu pribilegiatu kontuak produktibitate-kontuetatik administrazio-sarbidea babesteko.

Hobetu aktibo kritikoen jarrera: identifikatu zure aktibo kritikoak sarean, hala nola, ESXi hipervisoreak eta vCenters (VMware vSphere inguruneak kontrolatzeko plataforma zentralizatua), eta ziurtatu segurtasun-eguneratze berrienekin babesten dituzula, babeskopia eta berreskuratze-plan egokiak kontrolatzeko prozedurak. .
Identifikatu aktibo ahulak: Ezar ezazu sareko gailuen eskaneaketa autentifikatu SNMP erabiliz Microsoft Defender atariaren bidez, sareko gailuetako ahuleziak identifikatzeko, esate baterako, ESXi eta segurtasun-gomendioak jasotzeko.

Ondorioa

Jarraibide horietaz guztiez gain, Broadcom enpresak (VMwareren jabea) ahultasunaz ohartarazi zuen ohar baten bidez, non ESXi konfigurazio aurreratu batzuk aldatzen dituen irtenbide alternatibo baterako esteka sartzen baitu seguruagoak izan daitezen; Konponbide-orriak dio ESXi-ren bertsio guztietan (ESXi 8.0 U3-ren aurretik) "ESXi ezarpen aurreratu batzuek lehenespenez seguruak ez diren balio lehenetsiak dituzte. "ESX Administratzaileak" AD taldeari automatikoki esleitzen zaio VIM administratzaile rola ESXi ostalari bat Active Directory domeinu batera sartzen denean.

Javier Muñoz , Zerolynxeko zibersegurtasun analista

Itzuli blogera