Microsoft memperingatkan hari ini bahwa geng ransomware secara aktif mengeksploitasi kerentanan bypass autentikasi VMware ESXi dalam serangan.
Dilacak sebagai CVE-2024-37085kelemahan keamanan tingkat keparahan sedang ini ditemukan oleh peneliti keamanan Microsoft Edan Zwick, Danielle Kuznets Nohi, dan Meitar Pinto dan diperbaiki dengan rilis ESXi 8.0 U3 pada tanggal 25 Juni.
Bug ini memungkinkan penyerang untuk menambahkan pengguna baru ke grup ‘ESX Admins’ yang mereka buat, pengguna yang secara otomatis akan diberi hak istimewa administratif penuh pada hypervisor ESXi.
“Aktor jahat dengan izin Active Directory (AD) yang cukup dapat memperoleh akses penuh ke host ESXi yang sebelumnya dikonfigurasi untuk menggunakan AD untuk manajemen pengguna dengan membuat ulang grup AD yang dikonfigurasi (‘ESXi[[sangat]Admin secara default) setelah dihapus dari AD,” Broadcom menjelaskan.
“Beberapa pengaturan lanjutan ESXi memiliki nilai default yang tidak aman secara default. Grup AD “ESX Admins” secara otomatis diberi peran Admin VIM saat host ESXi bergabung ke domain Direktori Aktif.”
Sementara serangan yang berhasil memerlukan hak istimewa tinggi pada perangkat target dan interaksi pengguna, Microsoft mengatakan beberapa geng ransomware mengeksploitasinya untuk meningkatkan ke hak istimewa admin penuh pada hypervisor yang bergabung dengan domain.
Hal ini memungkinkan mereka mencuri data sensitif yang disimpan pada VM yang dihosting, bergerak secara lateral melalui jaringan korban, dan mengenkripsi sistem berkas hypervisor ESXi.
Microsoft telah mengidentifikasi setidaknya tiga taktik yang dapat digunakan untuk mengeksploitasi kerentanan CVE-2024-37085, termasuk:
- Menambahkan grup “ESX Admins” ke domain dan menambahkan pengguna.
- Mengganti nama grup mana pun di domain menjadi “ESX Admins” dan menambahkan pengguna ke grup atau menggunakan anggota grup yang ada.
- Penyegaran hak istimewa hypervisor ESXi (menetapkan hak istimewa admin ke grup lain tidak akan menghapusnya dari grup ‘ESX Admins’).
Dieksploitasi dalam serangan ransomware Black Basta dan Akira
Sejauh ini, kerentanan tersebut telah dieksploitasi secara liar oleh operator ransomware yang dilacak sebagai Storm-0506, Storm-1175, Octo Tempest, dan Manatee Tempest dalam serangan yang menyebabkan penyebaran ransomware Akira dan Black Basta.
Misalnya, Storm-0506 menyebarkan ransomware Black Basta pada hypervisor ESXi milik sebuah firma teknik Amerika Utara setelah meningkatkan hak istimewa dengan mengeksploitasi kelemahan CVE-2024-37085.
“Pelaku ancaman memperoleh akses awal ke organisasi melalui infeksi Qakbot, diikuti oleh eksploitasi kerentanan Windows CLFS (CVE-2023-28252) untuk meningkatkan hak istimewa mereka pada perangkat yang terkena dampak,” kata Redmond mengatakan.
“Pelaku ancaman kemudian menggunakan Cobalt Strike dan Pypykatz (versi Python dari Mimikatz) untuk mencuri kredensial dua administrator domain dan berpindah secara lateral ke empat pengendali domain.”
Selama bertahun-tahun, ada tren yang berkembang untuk menargetkan hypervisor ESXi suatu organisasi. Kelompok ransomware mulai berfokus pada mesin virtual (VM) ESXi setelah banyak perusahaan mulai menggunakannya untuk menghosting aplikasi penting dan menyimpan data karena penanganan sumber dayanya yang efisien.
Hal ini terjadi karena menonaktifkan ESXi VM dapat menyebabkan pemadaman besar dan mengganggu operasi bisnis saat mengenkripsi file dan cadangan yang disimpan pada hypervisor, sehingga sangat membatasi pilihan korban untuk memulihkan data mereka.
Namun, kelompok ransomware lebih fokus pada pembuatan loker khusus untuk mengenkripsi VM ketimbang menargetkan kerentanan ESXi tertentu (seperti CVE-2024-37085) yang akan memberi mereka cara lebih cepat untuk memperoleh dan mempertahankan akses ke hypervisor korban.
Kelompok ransomware Play adalah operasi terbaru yang mulai menyebarkan virus tersebut loker ESXi Linux dalam serangan mereka.
“Jumlah keterlibatan Microsoft Incident Response (Microsoft IR) yang melibatkan penargetan dan dampak pada hypervisor ESXi telah meningkat lebih dari dua kali lipat dalam tiga tahun terakhir,” Microsoft memperingatkan.
