Microsoftは7月29日(米国時間)、「Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption|Microsoft Security Blog」において、サイバー攻撃者が用いたVMware ESXiの権限昇格の脆弱性を特定したと伝えた。特定された脆弱性は「CVE-2024-37085」として追跡されており、その深刻度は警告(Warning)と評価されている。

  • Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption|Microsoft Security Blog

    Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption|Microsoft Security Blog

脆弱性「CVE-2024-37085」の概要

CVE-2024-37085」は権限昇格の脆弱性。十分なActive Directory(AD)権限を持つ攻撃者は、管理グループ(デフォルトでは「ESXi Admins」)を作成することで、ユーザー管理にADを使用するよう設定されていたESXiホストへの完全な管理アクセス権を取得できる可能性がある。

Microsoftによると、この脆弱性は脅威グループ「Storm-0506」「Storm-1175」「Octo Tempest」「Manatee Tempest」などが、ランサムウェア「Akira」および「Black Basta」を展開するために使用したという。

  • Storm-0506の侵害経路。最終段階で脆弱性を悪用 - 引用:Microsoft

    Storm-0506の侵害経路。最終段階で脆弱性を悪用 引用:Microsoft

脆弱性の根本原因は、「ESXi Admins」グループにデフォルトで管理者権限が与えられていることにある。グループのメンバーシップはセキュリティ識別子(SID: Security IDentifier)ではなく名前で区別されるため、同名のグループを作成できるユーザーは誰でも管理者権限を取得できる。Microsoftの研究者が特定した具体的な悪用手法は次の2つ。

  1. 「ESXi Admins」グループを作成する。この手法が積極的に悪用されている
  2. 既存のグループ名を「ESXi Admins」に変更する。この手法の悪用は確認されていない

Microsoftの調査によると「ESXi Admins」グループの管理者権限は、ドメイン内の他のグループを管理グループに割り当てた場合においてもすぐには削除されない。そのため、管理グループの作成だけでは安全とは限らない点に注意が必要。

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • VMware ESXi 8.0
  • VMware ESXi 7.0
  • VMware Cloud Foundation 5.x
  • VMware Cloud Foundation 4.x

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • VMware ESXi 8.0 Update 3 (ISO Build 24022510)
  • VMware Cloud Foundation 5.2 (Build 24108943)

VMware ESXi 7.0およびVMware Cloud Foundation 4.xの修正パッチは予定されていない。これら製品を利用している管理者にはアップグレードが望まれている。

対策

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在する製品を運用している管理者には、影響を確認してアップデートすることが推奨されている。アップデートできない場合は、「Secure Default Settings for ESXi Active Directory integration」にて示されている回避策により対策することができる。