Detección de CVE-2024-37085: Grupos de Ransomware Explotan Activamente una Vulnerabilidad Recientemente Corregida en los Hipervisores VMware ESXi para Obtener Privilegios Administrativos Completos
Tabla de contenidos:
Un par de semanas después de la divulgación de CVE-2024-38112, una vulnerabilidad crítica explotada por el grupo Void Banshee para desplegar el ladrón Atlantida, otra falla de seguridad pasó a primer plano. Múltiples grupos de ransomware han armado una vulnerabilidad recientemente parcheada en los hipervisores VMware ESXi etiquetada como CVE-2024-37085 para obtener privilegios elevados y distribuir muestras maliciosas que cifran archivos.
Detectar Intentos de Explotación de CVE-2024-37085
Solo en 2023, se identificaron más de 30,000 nuevas vulnerabilidades. Este número aumentó en un 42% en 2024, haciendo que la detección proactiva de vulnerabilidades sea uno de los casos de uso más destacados hasta la fecha. La última vulnerabilidad que causa una amenaza significativa para los defensores cibernéticos es una falla de omisión de autenticación recientemente parcheada en VMware ESXi (CVE-2024-37085) activamente armada por operadores de ransomware para ataques en estado salvaje.
Para identificar los intentos de explotación de CVE-2024-37085 a tiempo, los investigadores de seguridad podrían confiar en la Plataforma SOC Prime para la defensa cibernética colectiva, que agrega contenido de detección seleccionado acompañado de soluciones avanzadas de detección y búsqueda de amenazas para fortalecer la postura de seguridad organizacional. Simplemente presione el botón Explorar Detecciones a continuación e inmediatamente profundice en una pila de detección relevante.
Todas las reglas son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK®. Además, cada detección se enriquece con metadatos extensos, incluidas referencias CTI y cronologías de ataques, para agilizar la investigación de amenazas.
Los profesionales de la seguridad que buscan una cobertura más amplia de detección para investigar la actividad maliciosa de colectivos de ransomware que explotan CVE-2024-37085 podrían buscar en el Mercado de Detección de Amenazas de SOC Prime usando etiquetas personalizadas correspondientes basadas en los identificadores de los grupos: Storm-0506, Octo Tempest, Manatee Tempest, Akira, y Black Basta.
Análisis de CVE-2024-37085
Los investigadores de Microsoft han revelado CVE-2024-37085, una vulnerabilidad de severidad media parcheada recientemente en los hipervisores VMware ESXi, que ha estado bajo explotación activa por diversos operadores de ransomware para el cifrado masivo. CVE-2024-37085 es una vulnerabilidad de omisión de autenticación con un puntaje CVSS de 6.8, lo que permite a los atacantes con permisos AD suficientes obtener control total de un host ESXi que anteriormente se había configurado para usar AD para la gestión de usuarios.
Microsoft informó que grupos de ransomware como Storm-0506, Storm-1175, Octo Tempest, y Manatee Tempest han estado usando la técnica de post-compromiso para desplegar Akira and ransomware Black Basta. Más específicamente, esta técnica adversaria incluye ejecutar un conjunto de comandos, que lleva a generar un grupo llamado «ESX Admins» en el dominio y agregar un usuario a este. Según la investigación, los atacantes utilizaron el comando específico para explotar una vulnerabilidad en hipervisores ESXi unidos al dominio, permitiéndoles escalar sus privilegios para acceso administrativo completo. Un análisis más detallado reveló que los hipervisores VMware ESXi unidos a un dominio de Active Directory otorgan automáticamente acceso administrativo completo a cualquier miembro de un grupo de dominio llamado «ESX Admins», lo que facilita la explotación de CVE-2024-37085.
Los investigadores de Microsoft proporcionan tres posibles métodos de explotación de CVE-2024-37085, que incluyen crear un grupo de dominio llamado «ESX Admins» por parte de los atacantes y añadirse ellos mismos u otros a él, renombrar un grupo de dominio existente a «ESX Admins» y agregar usuarios a él, o refrescar los privilegios del hipervisor ESXi.
Como resultado de una explotación exitosa, los adversarios obtienen acceso administrativo completo a los hipervisores ESXi, dándoles vía libre para cifrar el sistema de archivos del hipervisor, potencialmente interrumpiendo la funcionalidad de los servidores alojados. Además, esto permite a los atacantes acceder a las VMs alojadas y facilita la exfiltración de datos y el movimiento lateral.
Para ayudar a los defensores a minimizar los riesgos asociados con ataques que explotan CVE-2024-37085, se aconseja a las organizaciones con hipervisores ESXi unidos al dominio instalar las últimas actualizaciones de seguridad proporcionadas por VMware para solucionar CVE-2024-37085, seguir las mejores prácticas de higiene de credenciales, fortalecer la postura de los activos críticos de la organización y desplegar consistentemente escaneos autenticados de dispositivos de red para identificar posibles puntos ciegos de manera oportuna. El Detective de Ataques de SOC Prime permite a las organizaciones blindar su postura SIEM con un plan de acción para maximizar la visibilidad de amenazas y abordar brechas en la cobertura de detección mientras fortalecen su estrategia de ciberseguridad con decisiones informadas.
