【 資安警訊 】- 微軟警告風險等級 6.8 的 VMware 漏洞遭多組駭客濫用
發布編號:OIS-CTI-2024-08-001
情資來源:Microsoft-warns
事件類型:漏洞警訊公告
內容說明:
VMware修補ESXi漏洞後,勒索軟體駭客積極利用,影響企業安全。微軟建議更新和多因素驗證。。
上個月 VMware 才修補了虛擬化軟體 ESXi hypervisor 漏洞,微軟本周便警告已經觀察到勒索軟體駭客積極利用這漏洞,試圖以管理員權限駭入同一 AD 網域的系統。
編號 CVE-2024-37085 的 ESXi hypervisor 漏洞。這是一個驗證繞過漏洞,CVSS 風險等級 6.8。VMware 母公司博通 (Broadcom) 上個月發佈安全公告, 基於這個漏洞,擁有 Active Directory (AD) 權限的攻擊者可以刪除某個具備管理員權限 AD 群組(預設為 ESXi Admin)再重建一個,藉此取得 ESXi 主機完整存取權。
VMware/博通上周釋出 ESXi 8.0 和 VMware Cloud Foundation 5.x 修補,ESXi 7.x 與 VMware Cloud Foundation 4.x 版本則沒有發布修補更新的計畫。在博通發布的資安公告理提到的 KB369707 文件中,有列出漏洞修補的設定方式,包含 ESXi 7.x 與 VCF 4.x。
微軟指出,CVE-2024-37085 有三種攻擊手法,一是新增 ESXi Admin 群組,二是將原有群組重新命名為 ESXi Admin,或是管理員改用其他群組來管理,但未將 ESXi Admin 群組權限關閉。微軟發現,今年以來多個勒索軟體組織使用第一種方法發動攻擊,包括 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest,植入 Akira、Black Basta、Babuk、Lockbit 和 Kuiper 等勒索軟體。
濫用本漏洞後的惡意程式可加密 VMWare ESXi hypervisor 的檔案系統,影響代管主機的執行和運作,竊取代管 VM 上的資料、或在受害者網路橫向移動。微軟事件回應團隊指出,三年來他們處理和 ESXi hypervisor 有關的攻擊增加了 2 倍。
影響平台:
ESXi
VMware Cloud Foundation
影響版本:
ESXi 7.0 ~ 8.0
VMware Cloud Foundation 4.x ~ 5.x
官方建議措施:
微軟建議企業使用連結網域的 ESXi hypervisor 的企業組織,應儘速更新到最新版本。此外,由於攻擊者一開始會設法取得 ESXi hypervisor 管理員密碼,微軟建議用戶啟用多因素驗證、使用無密碼驗證方法,像是使用指紋驗證、FIDO 裝置或 Microsoft Authenticator 等。
參考連結:
https://www.ithome.com.tw/news/164182
https://netmag.tw/2024/08/01/microsoft-warns-vmware-flaw-exploited-by-hackers