CVE-2024-37085 : d’après Microsoft, des gangs de ransomware exploitent cette faille dans VMware ESXi !
Microsoft a publié un nouveau rapport pour évoquer une vulnérabilité impactant les hyperviseurs « VMware ESXi » intégrés à un domaine Active Directory. Elle serait massivement exploitée dans le cadre de cyberattaques. Faisons le point.
La faille de sécurité CVE-2024-37085 est associée au rapport de cybersécurité publié par l'équipe de chercheurs Microsoft Threat Intelligence. Déjà connue et corrigée par VMware depuis le 25 juin 2024 à l'occasion de la publication de VMware ESXi 8.0 U3, cette vulnérabilité serait particulièrement dangereuse lorsque l'hyperviseur est intégré à l'annuaire Active Directory de l'organisation.
"La vulnérabilité, identifiée sous le nom de CVE-2024-37085, concerne un groupe de domaine dont les membres se voient accorder par défaut un accès administratif complet à l'hyperviseur ESXi sans validation appropriée.", précise Microsoft.
Concrètement, il s'avère que si un attaquant dispose d'autorisations suffisantes dans l'Active Directory, il peut obtenir un accès administrateur au serveur VMware ESXi. Pour cela, l'attaquant doit ajouter son compte utilisateur au groupe "ESXi Admins" présent dans l'Active Directory, créé automatiquement lors de l'intégration d'un ESXi au domaine (c'est donc un comportement normal et souhaité lorsque l'on appartient à ce groupe).
De plus, si ce groupe a été supprimé et que l'attaquant parvient à le recréer, l'exploitation est également possible : c'est ce comportement qui est à l'origine de l'attribution en tant que vulnérabilité.
Une vulnérabilité exploitée par les gangs de ransomware
L'équipe de chercheurs de Microsoft évoque l'exploitation de cette vulnérabilité au sein de plusieurs cyberattaques. Ces attaques, lors desquelles les ransomwares Akira et Black Basta ont été utilisées, sont associées à plusieurs groupes de cybercriminels (Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest).
"Au cours de cette attaque, l'acteur de la menace a utilisé la vulnérabilité CVE-2024-37085 pour obtenir des privilèges élevés sur les hyperviseurs ESXi au sein de l'organisation.", peut-on lire. Microsoft évoque notamment l'utilisation des commandes suivantes :
net group “ESX Admins” /domain /add
net group “ESX Admins” username /domain /add
Aujourd'hui, il semble clair que cette vulnérabilité représente un maillon essentiel dans la chaine d'attaque de plusieurs groupes de cybercriminels. Les serveurs VMware ESXi étant populaires, mais aussi fréquemment intégrés à l'Active Directory, ceci représente une opportunité intéressante pour les attaquants. Le fait de comprendre le contrôle de l'hyperviseur ouvre la porte à d'autres actions, y compris la possibilité de chiffrer les machines virtuelles avec un ransomware.
Le rapport de Microsoft prouve également que VMware ESXi est une cible privilégiée : "Le nombre d'interventions de Microsoft Incident Response (Microsoft IR) impliquant le ciblage et l'impact des hyperviseurs ESXi a plus que doublé au cours des trois dernières années." - Dernièrement, c'est le gang de ransomware Play qui a été repéré en train d'utiliser une variante de son ransomware compatible ESXi.