Home > Security Bulletins > VMware ESXi Active Directory Integration Authentication Bypass (Moderate)

VMware ESXi Active Directory Integration Authentication Bypass (Moderate)

VMware ESXi Active Directory Integration Authentication Bypass (Moderate)

Dinsdag 30 juli, 2024

VMware ESXi bevat een authentication bypass vulnerability, CVE-2024-37085, die actief als zero-day wordt uitgebuit door verschillende ransomware groepen. Door deze CVE uit te buiten krijgen aanvallers volledige beheerrechten op Active Directory (AD) domain-joined ESXi hypervisors, waardoor ze volledige bestandssystemen en masse kunnen versleutelen. De vulnerability heeft een CVSS basisscore van 6.8. Het advies is te lezen op de site van Broadcom.

 

Getroffen producten

  • VMware ESXi
  • VMware vCenter Server
  • VMware Cloud Foundation

 

Herstel

Update zo snel mogelijk naar de nieuwste versie, voor ESXi is dit versie 8.0 Update 3, die hier te vinden is. Voor VMware Cloud Foundation is de nieuwste versie 5.2, hier te vinden.

Voor meer richtlijnen over hoe u uw netwerk kunt beschermen tegen aanvallen naast het toepassen van de beveiligingsupdates van VMware, verwijzen we naar het artikel van Microsoft (onder “Mitigation and protection guidance”).

Klanten met Defender for Endpoint en/of Defender for Identity moeten uitkijken voor deze alerts die kunnen duiden op activiteiten in verband met deze vulnerability:

  • Suspicious modifications to ESX Admins group
  • New group added suspiciously
  • Suspicious Windows account manipulation
  • Compromised account conducting hands-on-keyboard attack
  • Suspicious creation of ESX group

 

Workaround

KB369707 bevat workarounds voor de getroffen producten.

 

Bronnen

Een gedetailleerd artikel werd door Microsoft op 29 juli gepubliceerd en bevat een analyse van de CVE, details van een geobserveerde aanval en verdere richtlijnen voor bescherming: https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/

Broadcoms advies: https://knowledge.broadcom.com/external/article?legacyId=1025569

NIST Vulnerability Database: https://nvd.nist.gov/vuln/detail/CVE-2024-37085

AttackerKB artikel: https://attackerkb.com/topics/2llWJbMF0o/cve-2024-37085