ESTOY BAJO UN CIBER ATAQUE

Alerta

Alerta 2024-20 Vulnerabilidad de elusión de autenticación en VMware ESXi explotada activamente

Producto(s) afectado(s):

  • VMware ESXi 8.0 y 7.0
  • VMware Cloud Foundation 5.x y 4.x

Descripción:

Un fallo de seguridad de gravedad media, identificado como CVE-2024-37085 con una puntuación CVSS de 5,8, es una vulnerabilidad de «Elusión de autenticación de integración de Active Directory» en VMware ESXi. Esta vulnerabilidad fue descubierta por investigadores de seguridad de Microsoft y corregida con el lanzamiento de ESXi 8.0 U3 el 25 de junio.

ESXi es un hipervisor de hardware que se instala directamente en los servidores físicos, proporcionando acceso directo y control sobre los recursos subyacentes. Los hipervisores ESXi alojan máquinas virtuales que pueden incluir servidores críticos dentro de una red. La vulnerabilidad afecta a un grupo de dominio cuyos miembros tienen acceso administrativo por defecto al hipervisor ESXi sin la validación adecuada. Aunque un ataque con éxito requiere privilegios elevados en el dispositivo objetivo e interacción del usuario, plantea riesgos significativos.

Microsoft ha informado de que varios grupos de ransomware están explotando esta vulnerabilidad para escalar a privilegios completos de administrador en hipervisores unidos a dominios. La vulnerabilidad ha sido explotada activamente por operadores de ransomware como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest en ataques que han llevado al despliegue de familias de ransomware como Akira y Black Basta.

Microsoft ha identificado al menos tres tácticas que los atacantes pueden utilizar para explotar CVE-2024-37085, entre las que se incluyen:

  1. Añadir el grupo «ESX Admins» al dominio y añadir un usuario.
  2. Renombrando cualquier grupo de dominio como «ESX Admins» y añadiendo un usuario al grupo o utilizando un miembro del grupo existente.
  3. Actualizar los privilegios del hipervisor ESXi (asignar privilegios de administrador a otros grupos sin eliminarlos del grupo «Administradores ESX»).

Esta vulnerabilidad supone un riesgo importante para los entornos que utilizan VMware ESXi, especialmente si las protecciones administrativas son débiles o no se aplican correctamente.

Descargar PDF

ESTAMOS AQUÍ PARA AYUDARTE

¿Estás sufriendo un ciberataque?

Denúncialo aquí

recibe las últimas alertas en tu bandeja de entrada

Suscríbete a nuestro boletín

Somos un grupo de profesionales altamente capacitados con sede en I+D, con conocimientos técnicos avanzados y experiencia en la detección, análisis, contención y recuperación de incidentes de seguridad.

Somos un CSIRT, somos Cybolt.

ESTOY SUFRIENDO UN CIBERATAQUE

Explora

Servicios

Mantente informado

© 2024. Beacon Lab CSIRT, Política de privacidad

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.