Уязвимость в кибербезопасности гипервизоров ESXi

Исследователи Microsoft в сфере кибербезопасности нашли уязвимость в гипервизорах ESXi, идентифицированную как CVE-2024-37085. Кибербезопасность критически важных серверов компаний может оказаться под угрозой. Проблема еще и в том, что многие существующие продукты кибербезопасности имеют ограниченную видимость и защиту для гипервизора ESXi. Уязвимость CVE-2024-37085 связана с доменной группой, членам которой по умолчанию предоставляется полный административный доступ к гипервизору ESXi, без надлежащей проверки, позволяя вредоносному программному обеспечению зашифровать файловую систему гипервизора ESXi, и провести массовое шифрование виртуальных машин, находящиеся под его управлением. Помимо этого, операторы ВПО могут произвести эксфильтрацию данных, или боковое перемещение по сети.

Найденная уязвимость используется группировками Storm-0506, Storm-1175, Octo Tempest и Manatee Tempest. Исследователи сообщают о внедрении программ-вымогателей Akira и Black Basta, Babuk, Lockbit и Kuiper при таких атаках.

За последний год было зафиксировано растущее количество атак на гипервизоры ESXi. Злоумышленники за несколько кликов производили массовое шифрование виртуальных машин, парализуя деятельность критически важных серверов в сети организации. Быстрота массового шифрования дает злоумышленникам больше времени для беспрепятственного перемещения по сети и кражи учетных данных на каждом устройстве, к которому они получают доступ. 

Microsoft рекомендует компаниям, использующим гипервизоры ESXi, установить обновление программного обеспечения, выпущенное VMware, соблюдать правила использования учетных данных, улучшать состояние критически важных активов.

Источник: Microsoft