Microsoft bugün fidye yazılımı çetelerinin bir VMware ESXI kimlik doğrulama baypas saldırganlığını aktif olarak kullandığı konusunda uyardı.
CVE-2024-37085 olarak izlenen bu orta şeffaf güvenlik kusuru, Microsoft güvenlik araştırmacıları Edan Zwick, Danielle Kuznets Nohi ve Meitar Pinto tarafından keşfedildi ve 25 Haziran'da ESXI 8.0 U3'ün yayınlanmasıyla sabitlendi.
Hata, saldırganların oluşturdukları bir 'ESX yöneticileri' grubuna yeni bir kullanıcı eklemesini sağlar, bu da ESXI hipervizörüne otomatik olarak tam idari ayrıcalıklar atanacak bir kullanıcı.
"Yeterli Active Directory (AD) izinlerine sahip kötü amaçlı bir aktör, daha önce yapılandırılmış AD grubunu ('ESXI [sic] yöneticiler' varsayılan olarak yeniden oluşturarak kullanıcı yönetimi için AD kullanacak şekilde yapılandırılmış bir ESXI ana bilgisayara tam erişim sağlayabilir. AD'den silindi, "diye açıklıyor Broadcom.
"Birkaç ESXI Gelişmiş Ayarları, varsayılan olarak güvenli olmayan varsayılan değerlere sahiptir." ESX Adims "reklam grubu, bir ESXI ana bilgisayarına bir Active Directory etki alanına birleştirildiğinde otomatik olarak VIM yönetici rolü verilir."
Başarılı bir saldırı, hedef cihaz ve kullanıcı etkileşimi üzerinde yüksek ayrıcalıklar gerektirirken, Microsoft, birkaç fidye yazılımı çetesinin, alan adına katılan hipervizörlerde tam yönetici ayrıcalıklarına yükselmek için kullandığını söylüyor.
Bu, barındırılan VM'lerde depolanan hassas verileri çalmalarını, kurbanların ağlarında yanal olarak hareket etmelerini ve ESXI hipervizörünün dosya sistemini şifrelemelerine olanak tanır.
Microsoft, aşağıdakileri içeren CVE-2024-37085 güvenlik açığından yararlanmak için kullanılabilecek en az üç taktik belirledi:
Şimdiye kadar, Akira ve Black Basta fidye yazılımı dağıtımlarına yol açan saldırılarda Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest olarak izlenen fidye yazılım operatörleri tarafından vahşi doğada kırılganlık kullanıldı.
Örneğin, Storm-0506, CVE-2024-37085 kusurundan yararlanarak ayrıcalıkları yükselttikten sonra, bir Kuzey Amerika mühendislik firmasının ESXI hipervizörlerine Black Basta fidye yazılımı konuşlandırdı.
Redmond, "Tehdit oyuncusu, Qakbot enfeksiyonu yoluyla organizasyona ilk erişim sağladı, ardından etkilenen cihazlardaki ayrıcalıklarını yükseltmek için bir Windows CLFS güvenlik açığının (CVE-2023-28252) sömürülmesini sağladı."
"Tehdit oyuncusu daha sonra iki etki alanı yöneticisinin kimlik bilgilerini çalmak ve dört alan denetleyicisine yanal olarak hareket etmek için Cobalt Strike ve PypyKatz'ı (Mimikatz'ın Python versiyonu) kullandı."
Yıllarca, bir kuruluşun ESXI hipervizörlerini hedefleme eğilimi olmuştur. Fidye yazılımı grupları, birçok işletme, verimli kaynak işlemeleri nedeniyle kritik uygulamaları barındırmaya ve verileri depolamak için kullanmaya başladıktan sonra ESXI Sanal Makinelerine (VMS) odaklanmaya başladı.
Bunun nedeni, ESXI VM'lerini indirmek, hipervizörde depolanan dosyaları ve yedeklemeleri şifrelerken, kurbanların verilerini kurtarma seçeneklerini ciddi şekilde sınırlandırırken büyük kesintilere neden olabilir ve iş işlemlerini bozabilir.
Bununla birlikte, fidye yazılımı grupları, bir kurbanın hipervizörlerine daha hızlı bir şekilde elde etmek ve erişim sağlayacak şekilde daha hızlı bir yol sağlayacak belirli ESXI güvenlik açıklarını (CVE-2024-37085 gibi) hedeflemek yerine VM'leri şifrelemeye adanmış dolaplar oluşturmaya odaklanmıştır.
Play Ransomware Group, saldırılarında bir ESXI Linux dolabını dağıtmaya başlayan en son operasyondur.
Microsoft, "ESXI hipervizörlerinin hedeflenmesini ve etkilemesini içeren Microsoft Olay Yanıtı (Microsoft IR) katılımlarının sayısı son üç yılda iki kattan fazla arttı."
CISA, fidye yazılımı saldırılarında sömürülen VMware ESXI hatası konusunda uyarıyor
Black Basta Fidye Yazılımı daha kaçınılmaz özel kötü amaçlı yazılımlara geçer
Yeni oynatma fidye yazılımı linux sürümü hedefleri vmware esxi vms
Sexi fidye yazılımı APT Inc'e yeniden markalar, VMware ESXI saldırılarına devam ediyor
RansomHub Fidye Yazılımı Hedefleri VMware ESXI VMS'nin Linux sürümü
Kaynak: Bleeping Computer