超过 20,000 个暴露在 Internet 上的 VMware ESXi 实例容易受到 CVE-2024-37085 的攻击

Shadowserver Foundation 的研究人员报告称，约有 20,000 台在线暴露的 VMware ESXi 服务器似乎受到了已利用的漏洞 CVE-2024-37085 的影响。

我们已开始分享暴露于 CVE-2024-37085（绕过身份验证）漏洞的 VMware ESXi 信息。尽管 Broadcom 将其评分仅为 CVSS 6.8，但 Microsoft 已报告该漏洞已被勒索软件运营者在野外利用。

我们在 2024 年 7 月 30 日观察到 20,275 个易受攻击的实例。图片链接：[推特图片链接]

—— Shadowserver Foundation (@Shadowserver) 2024 年 7 月 31 日

本周，Microsoft 警告称，多个勒索软件团伙正在利用 VMware ESXi 中最近修补的漏洞 CVE-2024-37085（CVSS 评分为 6.8）。

“Microsoft 研究人员发现，多个勒索软件运营者正在利用 ESXi 虚拟机管理程序中的漏洞来获取已加入域的 ESXi 虚拟机管理程序上的完全管理权限。” Microsoft 警告称。

该漏洞是 VMware ESXi 中的身份验证绕过漏洞。“拥有足够 Active Directory (AD) 权限的恶意行为者可以重新创建已从 AD 中删除的已配置 AD 组（默认情况下为‘ESXi Admins’），从而完全访问之前配置为使用 AD 进行用户管理的 ESXi 主机。” 虚拟化巨头发布的咨询报告中写到。

该公司已发布了针对影响 ESXi 8.0 和 VMware Cloud Foundation 5.x 的安全漏洞的补丁。然而，对于较旧版本 ESXi 7.0 和 VMware Cloud Foundation 4.x，没有计划发布补丁。建议不支持版本的用户升级到新版本以接收安全更新和支持。

Microsoft 报告称，包括 Storm-0506、Storm-1175 和 Octo Tempest 在内的多个以财务为目的的团伙已利用此漏洞部署勒索软件。

微软安全研究人员发现，Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 等勒索软件运营者在多次攻击中采用了一种新的后入侵技术。微软继续说道：“在多个案例中，这种技术的使用导致了 Akira 和 Black Basta 勒索软件的部署。”

Shadowserver 研究人员在 2024 年 7 月 30 日观察到 20,275 个易受 CVE-2024-37085 影响的实例。

“VMware ESXi CVE-2024-37085 身份验证绕过漏洞。尽管 Broadcom 仅将其评定为中等严重性（CVSS 6.8），但我们认为该漏洞更为严重，因为它正在被勒索软件行为者在野外利用。如果您的实例收到警报，请检查是否遭到入侵并更新。这是一次基于版本的扫描。”Shadowserver 发布的报告中写道。“我们不检查任何解决方案或 ESXi 虚拟机管理程序是否已加入域，这是可利用性的一个条件。任何报告都应视为可能存在漏洞，并需由接收方进行验证。标记为 cve-2024-37085。[首次添加标记于 2024 年 7 月 30 日]”

然而，一些暴露的实例可能已通过解决方案暂时得到了保护。“为了明确：这些实例可能存在漏洞，因为这只是一次远程版本检查，用于确认补丁状态。我们没有检测到任何解决方案，也没有检查是否存在其他可利用性的先决条件（已加入域的 ESXi 虚拟机管理程序）。”Shadowserver 声明道。

原文始发于微信公众号（黑猫安全）：超过 20,000 个暴露在 Internet 上的 VMware ESXi 实例容易受到 CVE-2024-37085 的攻击