Consorzio Metis

CSIRT Toscana

CSIRT Toscana

VMware ESXi e VMware Cloud Foundation: rilevato sfruttamento in rete della CVE-2024-37085 (AL03/240730/CSIRT-ITA)

Data:
30 Luglio 2024 15:04

Sintesi

Aggiornamenti di sicurezza VMware risolvono 3 vulnerabilità nei prodotti VMware ESXi e VMware Cloud Foundation. Di tali vulnerabilità si evidenzia la CVE-2024-37085, per la quale vi sono evidenze di sfruttamento attivo in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (71,53/100)1.

Tipologia

  • Security Restrictions Bypass
  • Authentication Bypass

Descrizione

È stato recentemente rilevato lo sfruttamento della vulnerabilità CVE-2024-37085 – già sanata dal vendor in data 25 giugno 2024 – relativa al prodotto ESXi.

Tale vulnerabilità – di tipo “Authentication Bypass” e con score CVSS v3.x pari a 6.8 – potrebbe permettere ad un utente malevolo, con sufficienti privilegi su Active Directory (AD), di ripristinare il gruppo “ESXi Admins” di default su istanze che utilizzano AD per la gestione delle utenze, ottenendo il pieno controllo degli host ESXi interessati.

Ricercatori di sicurezza di Microsoft hanno rilasciato un apposito bollettino di sicurezza in cui si evidenzia che tale vulnerabilità risulta utilizzata per distribuire ransomware quali Akira e Black Basta, esfiltrare dati ed effettuare movimenti laterali all’interno delle reti target.

Prodotti e versioni affette

VMware ESXi

  • 8.0, versioni precedenti alla 8.0 Update 3
  • 7.0, tutte le versioni

VMware Cloud Foundation

  • 5.x, versioni precedenti alla 5.2
  • 4.x, tutte le versioni

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza, disponibile al link presente nella sezione Riferimenti.

Si evidenzia che per tutte le versioni 7.0 di VMware ESXi e per le versioni 4.x di VMware Cloud Foundation, il vendor non rilascerà alcun ulteriore workaround e/o patch considerata la data di fine supporto (EOL).

Identificatori univoci vulnerabilità

CVE-2024-37085

CVE-2024-37086

CVE-2024-37087

Riferimenti

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505

https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.