VMware ESXi y VMware Cloud Foundation: se detecta explotación de red de CVE-2024-37085 (AL03/240730/CSIRT-ITA)

Síntesis

Las actualizaciones de seguridad de VMware abordan tres vulnerabilidades en los productos VMware ESXi y VMware Cloud Foundation. De estas vulnerabilidades destacamos CVE-2024-37085, de la que hay evidencia de explotación activa en la red.

Riesgo

Impacto estimado de la vulnerabilidad en la comunidad de referencia: ALTO/NARANJA (71,53/100)¹.

Tipología

• Security Restrictions Bypass
• Authentication Bypass

Descripción

Recientemente se detectó la explotación de la vulnerabilidad CVE-2024-37085 (ya corregida por el proveedor el 25 de junio de 2024) relacionada con el producto ESXi.

Esta vulnerabilidad, del tipo «Omisión de autenticación» y con una puntuación CVSS v3.x de 6,8, podría permitir a un usuario malintencionado, con privilegios suficientes en Active Directory (AD), restaurar el grupo predeterminado «Administradores de ESXi» en las instancias que utilice AD ​​para la gestión de usuarios, obteniendo control total de los hosts ESXi afectados.

Los investigadores de seguridad de Microsoft han publicado un boletín de seguridad específico destacando que esta vulnerabilidad se utiliza para distribuir ransomware como Akira y Black Basta, exfiltrar datos y realizar movimientos laterales dentro de las redes objetivo.

Productos y versiones afectados

VMware ESXi

• 8.0, versiones anteriores a 8.0 Actualización 3
• 7.0, todas las versiones

Fundación de la nube de VMware

• 5.x, versiones anteriores a 5.2
• 4.x, todas las versiones

Acciones de mitigacion

De acuerdo con las declaraciones del proveedor, se recomienda actualizar rápidamente los productos vulnerables siguiendo las instrucciones del boletín de seguridad, disponible en el enlace de la sección Referencias.

Tenga en cuenta que para todas las versiones 7.0 de VMware ESXi y 4.x de VMware Cloud Foundation, el proveedor no lanzará más soluciones alternativas ni parches considerando la fecha de fin de soporte (EOL).

Identificadores únicos de vulnerabilidad

CVE-2024-37085

CVE-2024-37086

CVE-2024-37087

Referencias

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505

https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption

¹Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.