Sintesi
Aggiornamenti di sicurezza VMware risolvono 3 vulnerabilità nei prodotti VMware ESXi e VMware Cloud Foundation. Di tali vulnerabilità si evidenzia la CVE-2024-37085, per la quale vi sono evidenze di sfruttamento attivo in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (71,53/100)1.
Tipologia
- Security Restrictions Bypass
- Authentication Bypass
Descrizione
È stato recentemente rilevato lo sfruttamento della vulnerabilità CVE-2024-37085 – già sanata dal vendor in data 25 giugno 2024 – relativa al prodotto ESXi.
Tale vulnerabilità – di tipo “Authentication Bypass” e con score CVSS v3.x pari a 6.8 – potrebbe permettere ad un utente malevolo, con sufficienti privilegi su Active Directory (AD), di ripristinare il gruppo “ESXi Admins” di default su istanze che utilizzano AD per la gestione delle utenze, ottenendo il pieno controllo degli host ESXi interessati.
Ricercatori di sicurezza di Microsoft hanno rilasciato un apposito bollettino di sicurezza in cui si evidenzia che tale vulnerabilità risulta utilizzata per distribuire ransomware quali Akira e Black Basta, esfiltrare dati ed effettuare movimenti laterali all’interno delle reti target.
Prodotti e versioni affette
VMware ESXi
- 8.0, versioni precedenti alla 8.0 Update 3
- 7.0, tutte le versioni
VMware Cloud Foundation
- 5.x, versioni precedenti alla 5.2
- 4.x, tutte le versioni
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si consiglia di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza, disponibile al link presente nella sezione Riferimenti.
Si evidenzia che per tutte le versioni 7.0 di VMware ESXi e per le versioni 4.x di VMware Cloud Foundation, il vendor non rilascerà alcun ulteriore workaround e/o patch considerata la data di fine supporto (EOL).
Identificatori univoci vulnerabilità
Riferimenti
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.