【漏洞通告】VMware ESXi Active Directory集成身份验证绕过漏洞 (CVE-2024-37085)

宣布时间 2024-07-30


一、漏洞概述

漏洞名称

VMware ESXi Active Directory集成身份验证绕过漏洞

CVE   ID

CVE-2024-37085

漏洞类型

身份验证绕过

发现时间

2024-06-26

漏洞评分

6.8

漏洞品级

中危

攻击向量

网络

所需权限

利用难度

用户交互

PoC/EXP

未果然

在野利用

已发现

 

VMware ESXi是VMware公司开发的一种虚拟化操作系统 ,它是VMware vSphere虚拟化平台中的核心组件之一 ,被广泛应用于企业数据中心和云计算环境 ,资助组织实现虚拟化、集中管理和资源共享 ,提高IT管理效率和灵活性。

7月30日 ,抖圈为赌而生集团VSRC监测到多个勒索软件团伙正在积极利用VMware ESXi中的一个身份验证绕过漏洞(CVE-2024-37085) ,以获取加入域的 ESXi 虚拟机管理法式的完全管理权限 ,该漏洞的CVSS评分为6.8。

VMware ESXi 存在Active Directory(AD)集成身份验证绕过漏洞 ,该漏洞存在于加入域的 ESXi 虚拟机管理法式处置域组的方式中 ,默认情况下名为“ESX Admins”的域组中的任何成员都市自动获得 ESXi 服务器上的完全管理权限 ,而无需经过身份验证 ,威胁者可通过创建或利用该组来获得未授权访问。乐成利用该漏洞可能导致 ESXi 文件系统被加密、禁用所有托管虚拟机 (VM) ,破坏要害业务运营 ,并可能窃取数据或在网络内横向移动。


二、影响范围

VMware ESXi 8.0     

VMware ESXi 7.0

VMware Cloud Foundation 5.x

VMware Cloud Foundation 4.x

 

三、宁静措施

3.1 升级版本

目前Vmware已针对部门受影响产物宣布了补丁 ,受影响用户可升级到以下版本:

VMware ESXi 8.0      :升级到ESXi80U3-24022510

VMware ESXi 7.0:暂无

VMware Cloud Foundation 5.x:升级到5.2

VMware Cloud Foundation 4.x:暂无

下载链接:

https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-esxi-803-release-notes/index.html

3.2 临时措施

l  验证组“ESX Admins”是否存在于域中。

l  通过更改 ESXi 虚拟机管理法式自己的设置来手动拒绝该组的访问。如果不需要Active Directory ESX admins组的完全管理访问权限 ,可以使用高级主机设置‘Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd’禁用此行为。

l  将管理组更改为 ESXi 虚拟机管理法式中的其他组。

l  在 XDR/SIEM 中为新组名添加自界说检测。

l  配置将ESXi日志发送到SIEM系统并监控可疑的完全管理访问。 

3.3 通用建议

l  定期更新系统补丁 ,减少系统漏洞 ,提升服务器的宁静性。

l  加强系统和网络的访问控制 ,修改防火墙计谋 ,关闭非须要的应用端口或服务 ,减少将危险服务(如SSH、RDP等)袒露到公网 ,减少攻击面。

l  使用企业级宁静产物 ,提升企业的网络宁静性能。

l  加强系统用户和权限管理 ,启用多因素认证机制和最小权限原则 ,用户和软件权限应保持在最低限度。

l  启用强密码计谋并设置为定期修改。

3.4 参考链接

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505

https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/

 

四、版本信息

版本

日期

备注

V1.0

2024-07-30

首次宣布

 

 

五、附录

5.1 抖圈为赌而生简介

抖圈为赌而生建立于1996年 ,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息宁静高科技企业。是国内最具实力的信息宁静产物、宁静服务解决方案的领航企业之一。

公司总部位于北京市中关村软件园抖圈为赌而生大厦 ,公司员工6000余人 ,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个 ,拥有笼罩全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)

多年来 ,抖圈为赌而生致力于提供具有国际竞争力的自主创新的宁静产物和最佳实践服务 ,资助客户全面提升其IT基础设施的宁静性和生产效能 ,为打造和提升国际化的民族信息宁静工业领军品牌而不懈努力。

5.2 关于抖圈为赌而生

抖圈为赌而生宁静应急响应中心已宣布1000多个漏洞通告和风险预警 ,我们将连续跟踪全球最新的网络宁静事件和漏洞 ,为企业的信息宁静保驾护航。

关注我们:

image.png