Recientemente se ha solucionado una vulnerabilidad de seguridad que impacta a los hipervisores VMware ESXi y ha sido aprovechada activamente por varios grupos de ransomware para obtener permisos elevados y desplegar malware de cifrado de archivos.
Los ataques involucran la explotación de la CVE-2024-37085 (puntuación CVSS: 6,8), un bypass de autenticación de integración de Active Directory que permite a un atacante obtener acceso administrativo al host.
VMware, empresa propiedad de Broadcom, señaló en un aviso publicado a finales de junio de 2024 que «Un actor malicioso con suficientes permisos de Active Directory (AD) puede obtener acceso total a un host ESXi que previamente se configuró para usar AD para la gestión de usuarios recreando el grupo AD configurado (‘ESXi Admins’ de forma predeterminada) después de que fue eliminado de AD.»
En un nuevo análisis, Microsoft indicó que observó a operadores de ransomware aprovechando la técnica post-compromiso para desplegar Akira y Black Basta.
«Los hipervisores VMware ESXi unidos a un dominio de Active Directory consideran a cualquier miembro de un grupo de dominio con el nombre de ‘ESX Admins’ como poseedor de acceso administrativo total de forma predeterminada,» afirmaron los investigadores.
En un ataque perpetrado por Storm-0506, el actor malintencionado aprovechó la vulnerabilidad para obtener permisos elevados en los hipervisores ESXi después de haber obtenido un punto de apoyo inicial. Las fases siguientes implicaron el despliegue de malware para robar credenciales de administrador de dominio y moverse lateralmente a través de la red, seguido por la implantación del SystemBC para persistencia y el abuso del acceso de administrador de ESXi para desplegar Black Basta.
Mandiant reveló que un grupo de amenazas con motivación financiera llamado UNC4393 está utilizando el acceso inicial obtenido a través de una puerta trasera C/C++ denominada ZLoader para entregar Black Basta, alejándose de QakBot y DarkGate.
Los actores de ransomware han demostrado un apetito por aprovechar técnicas novedosas para maximizar el impacto y eludir la detección, dirigiéndose cada vez más a los hipervisores ESXi y aprovechando las vulnerabilidades de seguridad recientemente divulgadas en los servidores expuestos en internet para atacar objetivos de interés.
Se recomienda a las organizaciones instalar las últimas actualizaciones de software, practicar una higiene de credenciales, aplicar la autenticación de dos factores y tomar medidas para salvaguardar activos críticos mediante procedimientos adecuados de monitoreo y planes de respaldo y recuperación.
Vía The Hacker News