多个勒索软件组织一直在利用 VMware ESXi 虚拟机管理程序中的身份验证绕过漏洞，以在虚拟化环境中快速部署恶意软件。

VMware 在 CVSS 量表上为该漏洞 （CVE-2024-37085） 打了“中”6.8 分（满分 10 分）。平均分数很大程度上是因为它要求攻击者在目标的 Active Directory （AD） 中拥有现有权限。

但是，如果他们确实具有 AD 访问权限，攻击者可能会造成重大损害。无需任何技术诡计，他们就可以使用 CVE-2024-37085 立即将其 ESXi 权限扩展到最大，从而为勒索软件部署、数据泄露、横向移动等打开大门。Storm-0506（又名 Black Basta）、Storm-1175、Manatee Tempest（Evil Corp 的一部分）和 Octo Tempest（又名 Scattered Spider）等组织已经尝试过，部署了 Black Basta 和 Akira 等勒索软件。

博通（Broadcom）最近在其网站上发布了一个修复程序。

CVE-2024-37085 的工作原理

某些组织将其 ESXi 虚拟机管理程序配置为使用 AD 进行用户管理。事实证明，通过这样做，组织将自己暴露在意想不到的事情中。默认情况下，ESXi 虚拟机管理程序向名为“ESX Admins”的 AD 域组的任何成员授予完全管理访问权限。

正如 Microsoft 在一篇博客文章中指出的那样，没有特别的理由说明为什么虚拟机管理程序应该期待这样的域组，或者有关于如何处理它的规则。“此组不是 Active Directory 中的内置组，默认情况下不存在。当服务器加入域时，ESXi 虚拟机监控程序不会验证此类组是否存在，并且仍然以完全管理访问权限对待具有此名称的组的任何成员，即使该组最初不存在，“威胁情报团队写道。“此外，组中的成员身份由名称确定，而不是由安全标识符 （SID） 确定。”

Dark Reading 已联系 Broadcom，询问这个问题最初是如何产生的。

利用 CVE-2024-37085 完全是微不足道的。只要攻击者在 AD 中拥有足够的权限，他们只需在目标域中创建一个“ESX 管理员”组并向其添加用户，即可获得 ESXi 管理员权限。他们还可以将任何现有组重命名为“ESX Admins”，并使用其现有用户之一或添加新用户。

虚拟机管理程序的风险

“针对 ESXi 和虚拟机的勒索软件攻击越来越普遍，尤其是自 2020 年左右以来，当时企业加大了数字化转型的步伐，并利用了现代混合云和虚拟化本地环境，“Sectigo 产品高级副总裁 Jason Soroko 解释道。

尽管虚拟化环境具有所有的商业意义，但它也为黑客提供了独特的好处。虚拟机管理程序倾向于同时运行多个虚拟机，这使它们成为尽可能广泛地攻击勒索软件的一站式商店，而这些虚拟机通常托管关键服务和业务数据。

正如Microsoft在其博客中指出的那样，它们对黑客的效用使得更加令人不安的是，安全产品对虚拟机监控程序的可见性和保护有限。索罗科解释说，这是“由于他们的孤立性、复杂性以及保护他们所需的专业知识。这种隔离使得传统的安全工具难以监控和保护整个环境，而API集成的限制进一步加剧了这个问题。

为了弥补这些缺点，Microsoft 强调了及时更新补丁的重要性，并围绕关键和易受攻击的资产实施更广泛的网络卫生。Soroko 指出：“攻击者喜欢使用阻力最小的路径，以提供最大的机会，”他补充说，勒索软件攻击者将来只会越来越多地针对这些系统。