Un Bug di VMware ESXi è Sfruttato attivamente da Attori Malevoli

Vincenzo Di Lello : 1 Agosto 2024 12:01

Una vulnerabilità  in VMware ESXi permetterebbe ad attori malintenzionati di elevare i propri privilegi da un accesso limitato ad un controllo amministrativo completo dell’hypervisor.

Panoramica della vulnerabilità

VMWare ha predisposto delle azioni di mitigazione atte a contrastare la vulnerabilità identificata con   CVE-2024-37085 avente CVSS3 pari a 6.8 che permetterebbe agli attaccanti di elevare i propri privilegi da un accesso limitato ad un controllo amministrativo completo dell’hypervisor.

Dalle informazioni di threath intelligence tale vulnerabilità è attivamente sfruttata in rete ed è stata utilizzata da APT come Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest per installare software dannoso sui sistemi vulnerabili.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Lo sfruttamento di tale vulnerabilità risulta semplice e impattante, basterebbe infatti la creazione di un nuovo gruppo di dominio chiamato “ESX Admins” e la creazione di un qualsiasi utente facente parte del medesimo dominio per conferire i privilegi di amministratore dell’hypervisor.

Tipologia

• Data Manipulation
• Denial of Service
• Security Restrictions Bypass
• Authentication Bypass

Prodotti e versioni affette

• Esxi 8.0 precedente alla versione 8.0 U3
• Esxi 7.0 Tutte le versioni

CVE di riferimento:

• CVE-2024-37085

Patch & Mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza.

Si riportano di seguito le versioni vulnerabili e relativa Fix release

Come dalla matrice cui sopra , attualmente, per la versione 7.0.x di ESXi non è stata ancora pianificata una patch ma è disponibile un workaround .

Considerazioni

Questo tipo di vulnerabilità ci rendono consapevoli dell’importanza del processo di patch management sui sistemi in quanto anche un solo sistema, facente parte di un ecosistema di servizi, potrebbe essere sfruttato e compromettere l’intera infrastruttura. Pertanto mantenere i sistemi aggiornati aiuta sensibilmente a ridurre la superficie d’attacco.

Vincenzo Di Lello
Membro del gruppo di Red Hot Cyber Dark Lab. Tech addicted, appassionato di tecnologia “analogica” e di sistemi embedded. Mi occupo principalmente dei processi di Vulnerability Management, Network Security ed architetture di sistemi ibridi in ambienti enterprise.

Lista degli articoli