VMware solucionó la semana pasada una vulnerabilidad en el hipervisor ESXi, pero Microsoft ha revelado que ya ha sido explotada por grupos de ransomware para obtener permisos administrativos. VMware ESXi es un hipervisor de hardware que permite la creación y gestión de máquinas virtuales directamente en el hardware del servidor, que puede incluir servidores críticos. CVE-2024-37085 es una vulnerabilidad de omisión de autenticación que permite a los actores maliciosos con permisos suficientes obtener acceso completo a un host ESXi unido a un dominio. El problema surge cuando se elimina y se vuelve a crear el grupo de Active Directory configurado, ya que cualquier usuario agregado a un nuevo grupo llamado «Administradores de ESX» tendrá privilegios de administrador de forma predeterminada. Un grupo de dominio también puede simplemente cambiarse de nombre a «Administradores de ESX», y cualquier miembro nuevo o existente tendrá privilegios administrativos. Pero para explotar CVE-2024-37085, el hacker necesita acceso privilegiado al entorno de Active Directory, que debe haberse obtenido a través de un ciberataque exitoso anterior. La organización también debe haber unido su host ESXi al Active Directory para fines de administración de usuarios, lo que muchos hacen por conveniencia. Broadcom, el propietario de VMware, lanzó varias correcciones para los dispositivos afectados entre el 25 de junio y el 25 de julio. La vulnerabilidad afecta a las versiones 7.0 y 8.0 de ESXi y a las versiones 4.x y 5.x de VMware Cloud Foundation, pero los parches solo se implementaron para ESXi 8.0 y VMware Cloud Foundation 5.x. Tiene una puntuación de gravedad CVSS relativamente baja de 6,8. Sin embargo, el 29 de julio, el equipo de Inteligencia de Amenazas de Microsoft publicó un informe que afirma que CVE-2024-37085 ha sido explotada por grupos de ransomware como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest, y ha dado lugar a implementaciones de ransomware Akira y Black Basta. Tales explotaciones en la naturaleza no se mencionaron en el aviso de Broadcom. VER: El ransomware Black Basta atacó a más de 500 organizaciones en todo el mundo Microsoft dijo: “En un ataque de ransomware, tener permiso administrativo completo en un hipervisor ESXi puede significar que el actor de la amenaza puede cifrar el sistema de archivos, lo que puede afectar la capacidad de los servidores alojados para ejecutarse y funcionar. También permite al actor de la amenaza acceder a las máquinas virtuales alojadas y posiblemente exfiltrar datos o moverse lateralmente dentro de la red”. Cobertura de seguridad de lectura obligada Cómo los actores maliciosos explotaron CVE-2024-37085 CVE-2024-37085 se deriva de los hipervisores ESXi unidos a un dominio de Active Directory que otorgan automáticamente acceso administrativo completo a cualquier miembro de un grupo de dominio llamado “Administradores de ESX”. Dicho grupo no existe de forma predeterminada, pero los ciberdelincuentes pueden crear uno fácilmente con el comando “net group ‘Admins’ /domain /add”. La membresía a este grupo también se determina por el nombre y no por el identificador de seguridad (SID), por lo que agregar un miembro también es trivial. “Cualquier usuario de dominio con la capacidad de crear un grupo puede escalar privilegios a acceso administrativo completo a hipervisores ESXi unidos al dominio creando dicho grupo y luego agregándose a sí mismos, u otros usuarios bajo su control, al grupo”, escribieron los investigadores de Microsoft. Según Microsoft, los cibercriminales podrían explotar CVE-2024-37085 haciendo una de las siguientes cosas: Creando un grupo de Active Directory llamado “ESX Admins” y agregando un usuario a él. Esta es la única técnica que se ha visto en uso. Renombrando cualquier grupo en el dominio a “ESX Admins” y agregando un usuario al grupo o usando un miembro del grupo existente. Aprovechando el hecho de que incluso si el administrador de red asigna otro grupo en el dominio para administrar el ESXi, los miembros de “ESXi Admins” aún conservan sus privilegios de administrador durante un período de tiempo. Microsoft afirma que la cantidad de compromisos de respuesta a incidentes que involucran el ataque y el impacto de hipervisores ESXi se han más que duplicado en los últimos tres años. Sugiere que se han convertido en objetivos populares porque muchos productos de seguridad tienen una visibilidad y protección limitadas para un hipervisor ESXi y que sus sistemas de archivos permiten el cifrado masivo con un solo clic. Varios grupos de ransomware como servicio han desarrollado malware específico para ESXi desde 2021, incluidos Royal, Play, Cheers y TargetCompany. VER: Hoja de trucos de ransomware: todo lo que necesita saber en 2024 A principios de este año, Storm-0506 intentó implementar el ransomware Black Basta en el sistema de una empresa de ingeniería norteamericana anónima utilizando la vulnerabilidad CVE-2024-37085. El grupo obtuvo acceso inicial a través de una infección de Qakbot y luego explotó una vulnerabilidad de escalada de privilegios de Windows CLFS. A continuación, los piratas informáticos utilizaron la herramienta Pypykatz para robar las credenciales de los controladores de dominio antes de tomar otras medidas para establecer un acceso persistente. Finalmente, el grupo utilizó la vulnerabilidad CVE-2024-37085 para obtener privilegios elevados en los hipervisores ESXi. Microsoft observó que el actor de amenazas creó un grupo de «Administradores de ESX» y le agregó un nuevo usuario antes de cifrar el sistema de archivos ESXi y tomar el control de las máquinas virtuales alojadas en el hipervisor ESXi. Recomendaciones para operadores de VMware ESXi Instale las últimas actualizaciones de software publicadas por VMWare en todos los hipervisores ESXi unidos al dominio. Emplee una buena higiene de credenciales para evitar que los actores de amenazas accedan a la cuenta privilegiada necesaria para explotar CV-2024-37085. Utilice autenticación multifactor, métodos de autenticación sin contraseña y aplicaciones de autenticación, y aísle las cuentas privilegiadas de las cuentas de productividad. Identifique los activos críticos, como los hipervisores ESXi y vCenters, y asegúrese de que tengan las últimas actualizaciones de seguridad, procedimientos de monitoreo adecuados y planes de respaldo y recuperación. Identifique vulnerabilidades en dispositivos de red mediante escaneo con SNMP y reciba recomendaciones de seguridad.
