Ciberseguridad 360 | CISA alerta sobre vulnerabilidad en VMware ESXi utilizada en ataques de ransomware

CISA ha ordenado a las agencias del Poder Ejecutivo Civil Federal (FCEB) de EE.UU. que aseguren sus servidores contra una vulnerabilidad de elusi�n de autenticaci�n de VMware ESXi explotada en ataques de ransomware.

VMware, subsidiaria de Broadcom, corrigi� este fallo (CVE-2024-37085) descubierto por investigadores de seguridad de Microsoft el 25 de junio con el lanzamiento de ESXi 8.0 U3.

CVE-2024-37085 permite a los atacantes a�adir un nuevo usuario al grupo 'ESX Admins' -no presente por defecto pero que puede a�adirse tras obtener altos privilegios en el hipervisor ESXi- al que se le asignar�n autom�ticamente plenos privilegios administrativos.

A pesar de que la explotaci�n exitosa requerir�a la interacci�n del usuario y altos privilegios para llevar a cabo, y VMware calific� la vulnerabilidad como de gravedad media, Microsoft revel� el lunes de la semana que varias bandas de ransomware ya est�n explotando para escalar a privilegios de administrador completo en hipervisores unidos a dominios.

Una vez que obtienen permisos de administrador, roban datos confidenciales de las m�quinas virtuales, se mueven lateralmente a trav�s de las redes de las v�ctimas y, a continuaci�n, cifran el sistema de archivos del hipervisor ESXi, provocando cortes e interrumpiendo las operaciones empresariales.

Hasta ahora, CVE-2024-37085 ha sido explotado por operadores de ransomware rastreados como Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest para desplegar los ransomware Akira y Black Basta.

Los organismos federales tienen tres semanas para proteger los sistemas vulnerables

Tras el informe de Microsoft, CISA ha a�adido la vulnerabilidad de seguridad a su cat�logo de "Vulnerabilidades explotadas conocidas", como advertencia de que los actores de amenazas la est�n aprovechando en los ataques.

Las agencias de la rama ejecutiva civil federal (FCEB) tienen ahora tres semanas, hasta el 20 de agosto, para asegurar sus sistemas contra la explotaci�n en curso de CVE-2024-37085, seg�n la directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021.

Aunque esta directiva solo se aplica a las agencias federales, la agencia de ciberseguridad inst� encarecidamente a todas las organizaciones a priorizar la correcci�n de la falla y frustrar los ataques de ransomware que podr�an dirigirse a sus redes.

"Este tipo de vulnerabilidades son vectores de ataque frecuentes para los ciberactores maliciosos y plantean riesgos significativos para la empresa federal", advirti� CISA.

Durante a�os, las operaciones de ransomware han cambiado su enfoque para dirigirse a las m�quinas virtuales (VM) ESXi de sus v�ctimas, en particular despu�s de que las v�ctimas han comenzado a usarlas para almacenar datos confidenciales y alojar aplicaciones cr�ticas.

Sin embargo, hasta ahora, han utilizado principalmente lockers Linux dise�ados para cifrar las m�quinas virtuales en lugar de explotar vulnerabilidades de seguridad espec�ficas en ESXi (como CVE-2024-37085), a pesar de que hacerlo podr�a proporcionar una forma m�s r�pida de acceder a los hipervisores de las v�ctimas.

Fuente: bleepingcomputer