Un Bug di VMware ESXi è Sfruttato attivamente da Attori Malevoli

Vincenzo Di Lello : 1 Agosto 2024 12:01

Una vulnerabilità  in VMware ESXi permetterebbe ad attori malintenzionati di elevare i propri privilegi da un accesso limitato ad un controllo amministrativo completo dell’hypervisor.

Panoramica della vulnerabilità

VMWare ha predisposto delle azioni di mitigazione atte a contrastare la vulnerabilità identificata con   CVE-2024-37085 avente CVSS3 pari a 6.8 che permetterebbe agli attaccanti di elevare i propri privilegi da un accesso limitato ad un controllo amministrativo completo dell’hypervisor.

Dalle informazioni di threath intelligence tale vulnerabilità è attivamente sfruttata in rete ed è stata utilizzata da APT come Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest per installare software dannoso sui sistemi vulnerabili.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Lo sfruttamento di tale vulnerabilità risulta semplice e impattante, basterebbe infatti la creazione di un nuovo gruppo di dominio chiamato “ESX Admins” e la creazione di un qualsiasi utente facente parte del medesimo dominio per conferire i privilegi di amministratore dell’hypervisor.

Tipologia

• Data Manipulation
• Denial of Service
• Security Restrictions Bypass
• Authentication Bypass

Prodotti e versioni affette

• Esxi 8.0 precedente alla versione 8.0 U3
• Esxi 7.0 Tutte le versioni

CVE di riferimento:

• CVE-2024-37085

Patch & Mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza.

Si riportano di seguito le versioni vulnerabili e relativa Fix release

Come dalla matrice cui sopra , attualmente, per la versione 7.0.x di ESXi non è stata ancora pianificata una patch ma è disponibile un workaround .

Considerazioni

Questo tipo di vulnerabilità ci rendono consapevoli dell’importanza del processo di patch management sui sistemi in quanto anche un solo sistema, facente parte di un ecosistema di servizi, potrebbe essere sfruttato e compromettere l’intera infrastruttura. Pertanto mantenere i sistemi aggiornati aiuta sensibilmente a ridurre la superficie d’attacco.

Vincenzo Di Lello
Membro del gruppo di Red Hot Cyber Dark Lab. Tech addicted, appassionato di tecnologia “analogica” e di sistemi embedded. Mi occupo principalmente dei processi di Vulnerability Management, Network Security ed architetture di sistemi ibridi in ambienti enterprise.

Lista degli articoli