VMware ESXi und VMware Cloud Foundation: Netzwerkausnutzung von CVE-2024-37085 erkannt (AL03/240730/CSIRT-ITA)

Synthese

VMware-Sicherheitsupdates beheben drei Schwachstellen in VMware ESXi- und VMware Cloud Foundation-Produkten. Von diesen Schwachstellen heben wir CVE-2024-37085 hervor, für die es Hinweise auf eine aktive Ausnutzung im Netzwerk gibt.

Risiko

Geschätzte Auswirkung der Schwachstelle auf die Referenzgemeinschaft: HOCH/ORANGE (71,53/100)¹.

Typologie

• Security Restrictions Bypass
• Authentication Bypass

Beschreibung

Kürzlich wurde die Ausnutzung der Schwachstelle CVE-2024-37085 im Zusammenhang mit dem ESXi-Produkt entdeckt, die der Anbieter bereits am 25. Juni 2024 behoben hat.

Diese Schwachstelle – vom Typ „Authentifizierungsumgehung“ und mit einem CVSS v3.x-Score von 6,8 – könnte es einem böswilligen Benutzer mit ausreichenden Berechtigungen für Active Directory (AD) ermöglichen, die Standardgruppe „ESXi-Administratoren“ auf Instanzen wiederherzustellen, die er verwendet Verwenden Sie AD für die Benutzerverwaltung und erhalten Sie so die volle Kontrolle über die betroffenen ESXi-Hosts.

Microsoft-Sicherheitsforscher haben ein spezielles Sicherheitsbulletin veröffentlicht, in dem sie darauf hinweisen, dass diese Schwachstelle dazu genutzt wird, Ransomware wie Akira und Black Basta zu verbreiten, Daten zu exfiltrieren und laterale Bewegungen innerhalb der Zielnetzwerke durchzuführen.

Betroffene Produkte und Versionen

VMware ESXi

• 8.0, Versionen vor 8.0 Update 3
• 7.0, alle Versionen

VMware Cloud Foundation

• 5.x, Versionen vor 5.2
• 4.x, alle Versionen

Schadensbegrenzungsmaßnahmen

Im Einklang mit den Erklärungen des Anbieters wird empfohlen, anfällige Produkte umgehend zu aktualisieren, indem Sie den Anweisungen im Sicherheitsbulletin folgen, das über den Link im Abschnitt „Referenzen“ verfügbar ist.

Bitte beachten Sie, dass der Anbieter für alle 7.0-Versionen von VMware ESXi und 4.x-Versionen von VMware Cloud Foundation angesichts des End-of-Support-Datums (EOL) keine weiteren Workarounds und/oder Patches veröffentlichen wird.

Eindeutige Schwachstellenkennungen

CVE-2024-37085

CVE-2024-37086

CVE-2024-37087

Referenzen

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505

https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption

¹Diese Schätzung erfolgt unter Berücksichtigung verschiedener Parameter, darunter: CVSS, Verfügbarkeit von Patches/Workarounds und PoC, Verbreitung der betroffenen Software/Geräte in der Referenz-Community.