A CISA ordenou que as agências do Ramo Executivo Civil Federal dos EUA (FCEB) protejam seus servidores contra uma vulnerabilidade de bypass de autenticação no VMware ESXi, que foi explorada em ataques de ransomware.
A subsidiária da Broadcom, VMware, corrigiu essa falha (
CVE-2024-37085
) descoberta por pesquisadores de segurança da Microsoft em 25 de junho com o lançamento do ESXi 8.0 U3.
O
CVE-2024-37085
permite que os atacantes adicionem um novo usuário ao grupo 'ESX Admins' — que não está presente por padrão, mas pode ser adicionado após obter altos privilégios no hipervisor ESXi — que automaticamente receberá privilégios administrativos completos.
Embora a exploração bem-sucedida exija interação do usuário e altos privilégios para ser realizada, e a VMware tenha classificado a vulnerabilidade como de gravidade média, a Microsoft revelou na segunda semana que vários grupos de ransomware já estão explorando isso para escalar para privilégios de administração completos em hipervisores unidos ao domínio.
Uma vez que obtenham permissões de administração, eles roubam dados sensíveis das VMs, movem-se lateralmente através das redes das vítimas e, em seguida, criptografam o sistema de arquivos do hipervisor ESXi, causando interrupções e prejudicando as operações comerciais.
Até agora,
CVE-2024-37085
foi explorado por operadores de ransomware rastreados como Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest para implantar ransomware Akira e Black Basta.
Seguindo o relatório da Microsoft, a CISA adicionou a vulnerabilidade de segurança ao seu catálogo de 'Vulnerabilidades Conhecidas Exploradas', servindo como um aviso de que atores de ameaças estão se aproveitando dela em ataques.
As agências do Ramo Executivo Civil Federal (FCEB) agora têm três semanas até 20 de agosto para proteger seus sistemas contra a exploração em andamento do
CVE-2024-37085
, de acordo com a diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.
Embora esta diretiva se aplique apenas a agências federais, a agência de cibersegurança instou fortemente todas as organizações a priorizar a correção da falha e impedir ataques de ransomware que poderiam visar suas redes.
"Esse tipo de vulnerabilidade é um vetor de ataque frequente para atores de ciberameaças maliciosas e representa riscos significativos para o empreendimento federal," alertou a CISA.
Há anos, operações de ransomware mudaram seu foco para visar as máquinas virtuais ESXi (VMs) de suas vítimas, especialmente depois que as vítimas começaram a usá-las para armazenar dados sensíveis e hospedar aplicações críticas.
No entanto, até agora, eles têm usado principalmente bloqueadores Linux projetados para criptografar VMs, em vez de explorar vulnerabilidades de segurança específicas no ESXi (como
CVE-2024-37085
), embora fazer isso pudesse fornecer um caminho mais rápido para acessar os hipervisores das vítimas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...