1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)

VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)

セキュリティニュース

投稿日時: 更新日時:

VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)

2024年7月30日 Microsoft(マイクロソフト)はVMware ESXiの脆弱性(CVE-2024-37085)がランサムウェア 攻撃 グループ「Black Basta」や「Akira」が悪用されている事を警告しました。

脆弱性 CVE-2024-37085の概要

VMware ESXi には、認証バイパスの脆弱性があります。

十分な Active Directory (AD) 権限を持つ悪意のある攻撃者は、AD から削除された後に構成された AD グループ (デフォルトでは「ESXi Admins」) を再作成することにより、以前にユーザー管理に AD を使用するように構成された ESXi ホストへのフル アクセスを取得できます。

なおこの脆弱性は2024年7月のアップデートで修正済みです。

脆弱性の緩和策

  • 「ESX Admins」グループをドメインに追加し、ユーザーを追加します。
  • ドメイン内の任意のグループの名前を「ESX Admins」に変更し、そのグループにユーザーを追加するか、既存のグループ メンバーを使用します。
  • ESXi ハイパーバイザーの権限が更新されます (他のグループに管理者権限を割り当てても、その権限は「ESX 管理者」グループから削除されません)。

VMware ESXi ハイパーバイザーを悪用しランサムウェア 攻撃者は監視を逃れる

Microsoft(マイクロソフト)によるとランサムウェア攻撃者が ESXi ハイパーバイザーを標的にして、数回のクリックで大量の暗号化を実行する様子が見られているとしています。

VMware ESXi は多くの企業ネットワークで人気の製品ですが、近年では ESXi ハイパーバイザーが脅威アクターの好むターゲットになっています。これらのハイパーバイザーは、次の要因により、ランサムウェアのオペレーターが SOC(セキュリティ・オペレーション・センター)の監視を逃れたい場合、悪用される可能性があります。

VMware ESXi ハイパーバイザーがサイバー攻撃のターゲットになる理由

  1. 多くのセキュリティ製品では、ESXi ハイパーバイザーの可視性と保護が制限されている。
  2. ESXi ハイパーバイザー ファイル システムを暗号化すると、ホストされている VM が影響を受けるため、ワンクリックで大量の暗号化が可能になります。これにより、ランサムウェア操作者は、アクセスする各デバイスでの横方向の移動と資格情報の盗難に、より多くの時間と複​​雑さを費やすことになります。

ランサムウェア 攻撃 グループ「Black Basta」や「Akira」が悪用

この脆弱性は、Storm-0506、Storm-1175、Octo Tempest、Manatee Tempest として追跡されているランサムウェア操作者によって実際に悪用され、Akira および Black Basta ランサムウェアの展開につながった攻撃で使用されています。

北米のエンジニアリング会社が Storm-0506 による Black Basta ランサムウェアの展開の影響を受けました。

この攻撃では、脅威アクターが CVE-2024-37085 の脆弱性を利用して、組織内の ESXi ハイパーバイザーに対する権限を昇格しました。

VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)

画像引用:Microsoft(マイクロソフト

脅威アクターは、Qakbotマルウェアを介して組織への最初のアクセスを取得し、続いて Windows CLFS の脆弱性 (CVE-2023-28252) を悪用して、影響を受けるデバイスでの権限を昇格しました。

 その後、脅威アクターは Cobalt Strike と Pypykatz (Mimikatz の Python バージョン) を使用して、2 人のドメイン管理者の資格情報を盗み、4 つのドメイン コントローラーに横移動しました。

侵害されたドメイン コントローラーでは、脅威アクターがカスタム ツールと SystemBC インプラントを使用して永続化メカニズムをインストールしました。

また、水平展開(ラテラル ムーブメント)の別の方法として、複数のデバイスへのリモート デスクトップ プロトコル (RDP) 接続をブルート フォースで試行し、その後再び Cobalt Strike と SystemBC をインストールしたことも確認されています。

さらに、脅威アクターは検出を回避するためにさまざまなツールを使用して Microsoft Defender ウイルス対策を改ざんしようとしました。

Microsoft(マイクロソフト)は脅威アクターがドメインに「ESX Admins」グループを作成し、そこに新しいユーザー アカウントを追加したことを観察し、これらのアクションの後、

この攻撃によって ESXi ファイル システムが暗号化され、ESXi ハイパーバイザーでホストされている仮想マシンの機能が失われたことを確認しました。

また、アクターは PsExec を使用して、ESXi ハイパーバイザーでホストされていないデバイスを暗号化していることも確認されました。

Microsoftのセキュリティ製品で暗号化を阻止

Microsoft Defender ウイルス対策と Microsoft Defender for Endpoint の自動攻撃中断により、Defender for Endpoint の統合エージェントがインストールされているデバイスでこれらの暗号化の試みを阻止できたとの事

引用

Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption

関連記事

Proofpointの設定が悪用され何百万通のフィッシングメールが送信される

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) Microsoft Defender for Endpointとは Microsoft純正のEDRについて解説Microsoft Defender for Endpointとは Microsoft純正のEDRについて解説 Veeam Backup & Replicationを狙うランサムウェア攻撃が発生Veeam Backup & Replicationを狙うランサムウェア攻撃が発生 EDR製品比較9選 製品タイプや導入時の注意点も解説EDR製品比較9選 製品タイプや導入時の注意点も解説 VMware Aria AutomationのSQLインジェクションの脆弱性を修正(CVE-2024-22280)VMware Aria AutomationのSQLインジェクションの脆弱性を修正(CVE-2024-22280) Default ThumbnailVMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081) ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577) Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)