CISA heeft Amerikaanse Federale Civiele Uitvoerende Afdelingen (FCEB) opgedragen hun servers te beveiligen tegen een VMware ESXi-authenticatieomzeilingskwetsbaarheid die wordt uitgebuit in ransomware-aanvallen.

Een dochteronderneming van Broadcom, VMware, heeft dit probleem (CVE-2024-37085) dat is ontdekt door beveiligingsonderzoekers van Microsoft op 25 juni opgelost met de release van ESXi 8.0 U3.

CVE-2024-37085 stelt aanvallers in staat een nieuwe gebruiker toe te voegen aan de ‘ESX Admins’ groep—niet standaard aanwezig, maar kan worden toegevoegd na het verkrijgen van hoge privileges op de ESXi hypervisor—die automatisch volledige administratieve privileges krijgt toegewezen.

Hoewel succesvolle exploitatie gebruikersinteractie en hoge privileges vereist om uit te voeren, en VMware de kwetsbaarheid als middelmatig ernstig beoordeelde, onthulde Microsoft vorige week maandag dat verschillende ransomware-bendes er al misbruik van maken om volledige administratieve privileges te verkrijgen op hypervisors die zijn aangesloten op een domein.

Zodra ze beheerdersrechten hebben verkregen, stelen ze gevoelige gegevens van VM’s, bewegen zich lateraal door de netwerken van de slachtoffers, en versleutelen vervolgens het bestandssysteem van de ESXi-hypervisor, wat leidt tot storingen en verstoring van bedrijfsactiviteiten.

Tot nu toe is CVE-2024-37085 uitgebuit door ransomware-operaties die worden gevolgd als Storm-0506, Storm-1175, Octo Tempest en Manatee Tempest om Akira en Black Basta ransomware te implementeren.

Federale agentschappen hebben drie weken om kwetsbare systemen te beveiligen

Na het rapport van Microsoft heeft CISA de beveiligingskwetsbaarheid toegevoegd aan zijn catalogus van ‘Bekende Uitgebuite Kwetsbaarheden’, als waarschuwing dat dreigingsactoren deze gebruiken in aanvallen.

Federale Civiele Uitvoerende Agentschappen (FCEB) hebben nu drie weken tot 20 augustus om hun systemen te beveiligen tegen de voortdurende exploitatie van CVE-2024-37085, volgens de bindende operationele richtlijn (BOD 22-01) die in november 2021 werd uitgegeven.

Hoewel deze richtlijn alleen van toepassing is op federale agentschappen, heeft het cybersecurity-agentschap sterk aangedrongen dat alle organisaties prioriteit geven aan het oplossen van het probleem en het voorkomen van ransomware-aanvallen die hun netwerken zouden kunnen treffen.

“Dit soort kwetsbaarheden zijn frequente aanvalsvectoren voor kwaadwillende cyberacteurs en vormen significante risico’s voor de federale onderneming,” waarschuwde CISA.

Jarenlang hebben ransomware-operaties hun focus verlegd naar het targeten van de ESXi-virtuele machines (VM’s) van hun slachtoffers, vooral nadat de slachtoffers deze zijn gaan gebruiken om gevoelige gegevens op te slaan en kritieke applicaties te hosten.

Tot nu toe hebben ze echter voornamelijk Linux-versleutelaars gebruikt die zijn ontworpen om VM’s te versleutelen in plaats van specifieke beveiligingskwetsbaarheden in ESXi (zoals CVE-2024-37085) uit te buiten, ook al zou dit een snellere manier kunnen zijn om toegang te krijgen tot de hypervisors van slachtoffers.