Rilevamento CVE-2024-37085: I Gruppi di Ransomware Sfruttano Attivamente una Vulnerabilità Appena Correttata nei VMware ESXi Hypervisors per Ottenere Pieni Privilegi Amministrativi
Indice:
Un paio di settimane dopo la divulgazione di CVE-2024-38112, una vulnerabilità critica sfruttata dal gruppo Void Banshee per distribuire il ladro Atlantida, un’altra falla nella sicurezza è arrivata alla ribalta. Molti gruppi di ransomware hanno armaotr una vulnerabilità recentemente corretta negli hypervisor VMware ESXi tracciata come CVE-2024-37085 per ottenere privilegi elevati e distribuire campioni dannosi che crittografano i file.
Rilevare i Tentativi di Sfruttamento di CVE-2024-37085
Nel solo 2023, sono state identificate oltre 30.000 nuove vulnerabilità. Questo numero è aumentato del 42% nel 2024, rendendo la rilevazione proattiva delle vulnerabilità uno dei casi d’uso più prominenti fino ad oggi. L’ultima vulnerabilità che provoca minaccia significativa per i difensori informatici è un difetto di bypass dell’autenticazione recentemente corretto in VMware ESXi (CVE-2024-37085) attivamente armato dagli operatori di ransomware per attacchi in-the-wild.
Per identificare tempestivamente i tentativi di sfruttamento di CVE-2024-37085, i ricercatori di sicurezza possono fare affidamento sulla piattaforma SOC Prime per la difesa informatica collettiva, che aggrega contenuti di rilevamento curati accompagnati da soluzioni avanzate di rilevamento e caccia alle minacce per rafforzare la postura di sicurezza organizzativa. Basta premere il Esplora Rilevamenti pulsante qui sotto e approfondire immediatamente una pila di rilevamento pertinente.
Tutte le regole sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Inoltre, ogni rilevamento è arricchito con metadati estesi, inclusi riferimenti CTI e cronologie degli attacchi, per semplificare l’indagine sulle minacce.
I professionisti della sicurezza che cercano una copertura di rilevamento più ampia per indagare sull’attività illecita dei collettivi di ransomware che sfruttano CVE-2024-37085 possono cercare nel mercato del rilevamento delle minacce di SOC Prime utilizzando tag personalizzati corrispondenti basati sugli identificatori dei gruppi: Storm-0506, Octo Tempest, Manatee Tempest, Akira, e Black Basta.
Analisi di CVE-2024-37085
I ricercatori di Microsoft hanno svelato CVE-2024-37085, una vulnerabilità recentemente risolta di gravità media negli hypervisor VMware ESXi, che è stata sottoposta a sfruttamento attivo da parte di operatori di ransomware diversi per la crittografia di massa. CVE-2024-37085 è una vulnerabilità di bypass dell’autenticazione con un punteggio CVSS di 6.8, che consente agli aggressori con sufficienti permessi AD di ottenere il controllo totale di un host ESXi che era stato precedentemente configurato per utilizzare AD per la gestione degli utenti.
Microsoft ha riferito che gruppi di ransomware come Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest hanno utilizzato la tecnica post-compromissione per distribuire Akira and ransomware Black Basta. Più specificamente, questa tecnica avversaria include l’esecuzione di un insieme di comandi, che porta alla generazione di un gruppo denominato “ESX Admins” nel dominio e all’aggiunta di un utente a esso. Secondo l’indagine, gli aggressori hanno utilizzato il comando specifico per sfruttare una vulnerabilità negli hypervisor ESXi uniti al dominio, consentendo loro di aumentare i propri privilegi per avere pieno accesso da amministratore. Un’ulteriore analisi ha rivelato che gli hypervisor VMware ESXi uniti a un dominio Active Directory concedono automaticamente pieno accesso amministrativo a qualsiasi membro di un gruppo di dominio denominato “ESX Admins”, il che rende CVE-2024-37085 facile da sfruttare.
I ricercatori di Microsoft forniscono tre possibili metodi di sfruttamento di CVE-2024-37085, che includono la creazione di un gruppo di dominio denominato “ESX Admins” da parte degli aggressori e l’aggiunta di sé stessi o altri ad esso, la rinominazione di un gruppo di dominio esistente in “ESX Admins” e l’aggiunta di utenti a esso, o l’aggiornamento dei privilegi dell’hypervisor ESXi.
Come risultato di uno sfruttamento riuscito, gli avversari ottengono pieno accesso amministrativo agli hypervisor ESXi, dando loro il via libera per crittografare il file system dell’hypervisor, potenzialmente interrompendo la funzionalità dei server ospitati. Inoltre, consente agli aggressori di accedere alle macchine virtuali ospitate e facilita l’esfiltrazione dei dati e il movimento laterale.
Per aiutare i difensori a ridurre i rischi associati agli attacchi che sfruttano CVE-2024-37085, si consiglia alle organizzazioni con hypervisor ESXi uniti al dominio di installare gli ultimi aggiornamenti di sicurezza forniti da VMware per correggere CVE-2024-37085, seguire le migliori pratiche di igiene delle credenziali, rafforzare la postura degli asset critici dell’organizzazione e distribuire costantemente scansioni autenticate dei dispositivi di rete per identificare potenziali punti ciechi in modo tempestivo. L’ Attack Detective di SOC Prime consente alle organizzazioni di blindare la propria postura SIEM con un piano d’azione per massimizzare la visibilità delle minacce e affrontare le lacune nella copertura della rilevazione, rafforzando allo stesso tempo la propria strategia di sicurezza informatica con decisioni informate.
