VMware solucionó la semana pasada una vulnerabilidad en el hipervisor ESXi, pero Microsoft ha revelado que ya ha sido explotada por grupos de ransomware para obtener permisos administrativos.
VMware ESXi es un hipervisor de hardware que permite la creación y administración de máquinas virtuales directamente en el hardware del servidor, que puede incluir servidores críticos. CVE-2024-37085 es una vulnerabilidad de omisión de autenticación que permite a actores maliciosos con permisos suficientes obtener acceso total a un host ESXi unido a un dominio.
El problema surge cuando se elimina y se vuelve a crear el grupo de Active Directory configurado, ya que cualquier usuario agregado a un nuevo grupo llamado “Administradores de ESX” tendrá privilegios de administrador de forma predeterminada. Un grupo de dominio también puede simplemente cambiarse de nombre a “Administradores de ESX” y todos los miembros nuevos o existentes tendrán privilegios administrativos.
Pero para explotar la vulnerabilidad CVE-2024-37085, el hacker necesita tener acceso privilegiado al entorno de Active Directory, que debe haber obtenido mediante un ciberataque exitoso anterior. La organización también debe haber unido su host ESXi al Active Directory para fines de administración de usuarios, algo que muchos hacen por conveniencia.
Broadcom, el propietario de VMware, Se lanzaron varias correcciones para los dispositivos afectados entre el 25 de junio y el 25 de julio. La vulnerabilidad afecta a las versiones 7.0 y 8.0 de ESXi y a las versiones 4.x y 5.x de VMware Cloud Foundation, pero solo se implementaron parches para ESXi 8.0 y VMware Cloud Foundation 5.x. Tiene una puntuación de gravedad CVSS relativamente baja de 6,8.
Sin embargo, el 29 de julio, el equipo de Inteligencia de Amenazas de Microsoft publicó un informe que afirma que CVE-2024-37085 ha sido explotada por grupos de ransomware como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest, y ha dado lugar a implementaciones de ransomware Akira y Black Basta. Estas explotaciones en la red no se mencionaron en el aviso de Broadcom.
VER: El ransomware Black Basta afectó a más de 500 organizaciones en todo el mundo
Microsoft afirmó: “En un ataque de ransomware, tener permiso administrativo completo en un hipervisor ESXi puede significar que el actor de la amenaza puede cifrar el sistema de archivos, lo que puede afectar la capacidad de los servidores alojados para ejecutarse y funcionar. También le permite al actor de la amenaza acceder a las máquinas virtuales alojadas y posiblemente exfiltrar datos o moverse lateralmente dentro de la red”.
Cómo los actores maliciosos explotaron CVE-2024-37085
CVE-2024-37085 se origina en hipervisores ESXi unidos a un dominio de Active Directory que otorgan automáticamente acceso administrativo completo a cualquier miembro de un grupo de dominio llamado “Administradores de ESX”.
Este grupo no existe de forma predeterminada, pero los cibercriminales pueden crear uno fácilmente con el comando “net group ‘ESX Admins’ /domain /add”. La pertenencia a este grupo también se determina por el nombre y no por el identificador de seguridad (SID), por lo que agregar un miembro también es trivial.
“Cualquier usuario de dominio con la capacidad de crear un grupo puede escalar privilegios a acceso administrativo completo a los hipervisores ESXi unidos al dominio creando dicho grupo y luego agregándose a sí mismo, o a otros usuarios bajo su control, al grupo”, escribieron los investigadores de Microsoft.
Según Microsoft, los ciberdelincuentes podrían explotar CVE-2024-37085 realizando una de las siguientes acciones:
- Creación de un grupo de Active Directory llamado “Administradores de ESX” y adición de un usuario. Esta es la única técnica que se utiliza en la práctica.
- Cambiar el nombre de cualquier grupo del dominio a “Administradores de ESX” y agregar un usuario al grupo o usar un miembro del grupo existente.
- Aprovechando el hecho de que incluso si el administrador de red asigna otro grupo en el dominio para administrar ESXi, los miembros de “Administradores de ESXi” aún conservan sus privilegios de administrador durante un período de tiempo.
Microsoft afirma que la cantidad de acciones de respuesta a incidentes que involucran ataques y repercusiones en hipervisores ESXi se han más que duplicado en los últimos tres años. Esto sugiere que se han convertido en objetivos populares porque muchos productos de seguridad tienen una visibilidad y protección limitadas para un hipervisor ESXi y sus sistemas de archivos permiten el cifrado masivo con un solo clic.
Varios grupos de ransomware como servicio han desarrollado malware específico para ESXi desde 2021, incluidos Real, Jugar, Salud y Empresa objetivo.
VER: Hoja de trucos sobre ransomware: todo lo que necesita saber en 2024
A principios de este año, Storm-0506 intentó implementar el ransomware Black Basta en el sistema de una empresa de ingeniería norteamericana anónima utilizando la vulnerabilidad CVE-2024-37085. El grupo obtuvo acceso inicial a través de una infección de Qakbot y luego explotó una vulnerabilidad de escalada de privilegios CLFS de Windows. A continuación, los piratas informáticos utilizaron la herramienta Pypykatz para robar las credenciales de los controladores de dominio antes de tomar otras medidas para establecer un acceso persistente.
Por último, el grupo utilizó la vulnerabilidad CVE-2024-37085 para obtener privilegios elevados en los hipervisores ESXi. Microsoft observó que el actor de amenazas creó un grupo de “Administradores ESX” y agregó un nuevo usuario antes de cifrar el sistema de archivos ESXi y tomar el control de las máquinas virtuales alojadas en el hipervisor ESXi.
Recomendaciones para operadores de VMware ESXi
- Instale las últimas actualizaciones de software publicadas por VMWare en todos los hipervisores ESXi unidos al dominio.
- Utilice una buena higiene de credenciales para evitar que los actores de amenazas accedan a la cuenta privilegiada necesaria para explotar la vulnerabilidad CV-2024-37085. Utilice autenticación multifactor, métodos de autenticación sin contraseña y aplicaciones de autenticación, y aísle las cuentas privilegiadas de las cuentas de productividad.
- Identifique activos críticos, como hipervisores ESXi y vCenters, y asegúrese de que tengan las últimas actualizaciones de seguridad, procedimientos de monitoreo adecuados y planes de respaldo y recuperación.
- Identifique vulnerabilidades en dispositivos de red mediante escaneo mediante SNMP y reciba recomendaciones de seguridad.
