VMware ESXiの認証バイパス脆弱性をランサムウェアグループが攻撃で悪用:マイクロソフトが警告(CVE-2024-37085)
BleepingComputer – July 29, 2024
マイクロソフトは27日、複数のランサムウェアグループが、攻撃でVMware ESXiにおける認証バイパスの脆弱性を盛んに悪用していると警告した。
この欠陥CVE-2024-37085は、Active Directory(AD)で一定以上の権限を持つ攻撃者が悪用した場合、ADから削除されたADグループ(デフォルトでは「ESXi Admins」)を再度作成し、削除前に設定されたアクセス権限を取得できるようになるというもの。マイクロソフトが観測した攻撃では、攻撃者は同脆弱性を悪用して「ESX Admins」というグループを作成し、新しいユーザーを追加していたという。このユーザーには、ESXiハイパーバイザー上の完全な管理者権限が自動的に割り当てられることになる。
これにより、攻撃者はホストされた仮想マシンに保存された機微データを盗んだり、被害者のネットワークでラテラルムーブメントを行ったり、ESXiハイパーバイザーのファイルシステムを暗号化したりすることができるようになる。
これまでのところStorm-0506、Storm-1175、Octo Tempest、Manatee Tempestといったランサムウェアオペレーターが攻撃でこの欠陥を悪用し、AkiraおよびBlack Bastaランサムウェアを展開している。なお、同脆弱性は先月25日にリリースされたVMware ESXi 8.0 Update 3で修正済み。
近年、ランサムウェアアクターらはESXiハイパーバイザーを好んで狙うようになっている。マイクロソフトによると、同社のMicrosoft Incident Response(IR)サービスにおいて、ESXiハイパーバイザーを標的にしたり、これに影響を与えたりするインシデントの対応件数が過去3年間で2倍以上に増加しているとのこと。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠