Existem cerca de 20.000 servidores VMware ESXi aparentemente expondo uma vulnerabilidade na internet, segundo dados da The Shadowserver Foundation. Rastreada como CVE-2024-37085 e com gravidade CVSS de 6,8, essa vulnerabilidade é um bypass de autenticação que permite aos agentes de ameaças obter acesso total ao servidor. Pelo mapa publicado, 350 dessas instâncias estão no Brasil.
“Um agente malicioso com permissões suficientes do Active Directory (AD) pode obter acesso total a um host ESXi que foi previamente configurado para usar o AD para gerenciamento de usuários recriando o grupo AD configurado (‘ESX Admins’ por padrão) após ele ter sido excluído do AD”, observa a VMware em seu comunicado. A empresa anunciou patches para a vulnerabilidade em 24 de julho e menos de uma semana depois a Microsoft revelou que vários grupos de ransomware estavam explorando-a em ataques.
Atores de ameaças como Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest, disse a Microsoft, exploraram a vulnerabilidade em vários ataques, em alguns casos implantando ransomware como Akira e Black Basta. Como parte dos ataques observados, os atores de ameaças criaram um grupo ESX Admins e se adicionaram como membros do grupo para obter privilégios administrativos completos para todos os hipervisores VMware ESXi que se juntaram ao grupo.
“A exploração bem-sucedida leva ao acesso administrativo completo aos hipervisores ESXi, permitindo que os atores de ameaças criptografem o sistema de arquivos do hipervisor, o que pode afetar a capacidade dos servidores hospedados de executar e funcionar. Também permite que o ator de ameaças acesse VMs hospedadas e possivelmente exfiltre dados ou se mova lateralmente dentro da rede”, diz a Microsoft.
Na quarta-feira, a The Shadowserver Foundation anunciou que adicionou CVE-2024-37085 à sua lista de CVEs rastreados e que observou mais de 20.000 instâncias acessíveis pela internet vulneráveis em 30 de julho. Não parece haver mudanças significativas nas estatísticas em 31 de julho.
Fonte e Créditos: https://www.cisoadvisor.com.br/350-instancias-vmware-esxi-vulneraveis-no-brasil/