CVE-2024-37085 検出：ランサムウェアグループがVMware ESXiハイパーバイザーの新たなパッチ適用済み脆弱性を積極的に悪用して完全な管理者権限を取得

開示から数週間後、 CVE-2024-38112、Void Banshee グループによって Atlantida スティーラーを配布するために悪用された重大な脆弱性に続き、別のセキュリティ欠陥が注目されました。複数のランサムウェア グループが、最近修正された VMware ESXi ハイパーバイザーの脆弱性（CVE-2024-37085 として追跡されている）を武器化し、権限を昇格し、ファイルを暗号化する悪意あるサンプルを配布しています。

CVE-2024-37085 の悪用試行を検出

2023 年だけでも 30,000 件以上の新しい脆弱性が特定されました。この数は 2024 年には 42% 増加しました。これにより、プロアクティブな脆弱性検出がこれまでで最も顕著なユースケースの 1 つとなっています。最近修正された VMware ESXi の認証回避の欠陥（CVE-2024-37085）は、ランサムウェア オペレーターにより野生で積極的に武器化され、サイバー防御に重大な脅威を引き起こしています。

CVE-2024-37085 の悪用をタイムリーに特定するために、セキュリティ研究者は、集められた検出コンテンツを集計し、組織のセキュリティ姿勢を強化する高度な脅威検出およびハンティング ソリューションを提供する SOC Prime Platform に依存できます。「 検出を探索 」ボタンを押すだけで、関連する検出スタックにすぐにドリルダウンできます。

検出を探索

すべてのルールは、30 を超える SIEM、EDR、およびデータ レイク ソリューションと互換性があり、 MITRE ATT&CK® フレームワークにマップされています。さらに、各検出には、脅威の調査を円滑にするための CTI リファレンスや攻撃タイムラインを含む豊富なメタデータが付加されています。

CVE-2024-37085 を悪用するランサムウェア集団の悪意ある活動を調査するために、より広範な検出範囲を求めているセキュリティ専門家は、グループの識別子に基づいてカスタムタグを使用して SOC Prime の脅威検出マーケットプレイスを検索するかもしれません。 Storm-0506, Octo Tempest, Manatee Tempest, Akira、および Black Basta.

CVE-2024-37085 分析

Microsoft の研究者は、VMware ESXi ハイパーバイザーの最近修正された中程度の脆弱性である CVE-2024-37085 を明らかにしました。これは、 さまざまなランサムウェア運営者によって活発に悪用されています 。CVE-2024-37085 は認証バイパス脆弱性であり、CVSS スコアは 6.8 で、十分な AD 権限を持つ攻撃者が、以前にユーザー管理に AD を使用するように設定されていた ESXi ホストに完全な制御を得ることを可能にします。

Microsoft は、Storm-0506、Storm-1175、Octo Tempest、Manatee Tempest などのランサムウェア グループが、 Akira and Black Basta ランサムウェアを配備するためにアフターコンプロマイズ技術を使用していると報告している。具体的には、この敵対者技術には一連のコマンドを実行することが含まれており、ドメインで「ESX Admins」というグループを生成し、そこにユーザーを追加することになります。調査によれば、攻撃者は特定のコマンドを使用して、ドメインに結合された ESXi ハイパーバイザーの脆弱性を悪用し、それにより完全な管理者アクセスを得るために特権を昇格させることができます。さらなる分析により、Active Directory ドメインに結合された VMware ESXi ハイパーバイザーは、「ESX Admins」という名前のドメイングループのメンバーに自動的に完全な管理アクセスを許可し、CVE-2024-37085 が簡単に悪用されることが明らかになりました。

Microsoft の研究者は、CVE-2024-37085 の悪用に関して、攻撃者が「ESX Admins」という名前のドメイングループを作成して自分自身または他人を追加する、既存のドメイングループを「ESX Admins」に改名してユーザーを追加する、または ESXi ハイパーバイザーの特権を更新するという 3 つの方法を提供します。

悪用が成功した結果、攻撃者は ESXi ハイパーバイザーに対する完全な管理アクセスを得て、ハイパーバイザーのファイルシステムを暗号化し、ホストされているサーバーの機能を混乱させる可能性があります。さらに、攻撃者はホストされた仮想マシンにアクセスし、データの流出やラテラルムーブメントを容易にすることができます。

CVE-2024-37085 を悪用する攻撃に関連するリスクを最小限に抑えるために、ドメインに結合された ESXi ハイパーバイザーを持つ組織は、CVE-2024-37085 を修正するための VMware が提供する最新のセキュリティ更新をインストールし、認証情報の衛生管理のベスト プラクティスに従い、組織の重要な資産の姿勢を強化し、タイムリーにネットワークデバイスの認証済みスキャンを一貫して展開して潜在的な盲点を特定することが推奨されます。SOC Prime の Attack Detective は、組織が脅威の可視性を最大化し、検出範囲のギャップを埋めるための実行可能な計画で SIEM の姿勢を強化し、情報に基づいた決定でサイバーセキュリティ戦略を強化できるようにします。