Microsoftは7月29日(米国時間)、「Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption|Microsoft Security Blog」において、サイバー攻撃者が用いたVMware ESXiの権限昇格の脆弱性を特定したと伝えた。特定された脆弱性は「CVE-2024-37085」として追跡されており、その深刻度は警告(Warning)と評価されている。
-
Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption|Microsoft Security Blog
脆弱性「CVE-2024-37085」の概要
「CVE-2024-37085」は権限昇格の脆弱性。十分なActive Directory(AD)権限を持つ攻撃者は、管理グループ(デフォルトでは「ESXi Admins」)を作成することで、ユーザー管理にADを使用するよう設定されていたESXiホストへの完全な管理アクセス権を取得できる可能性がある。
Microsoftによると、この脆弱性は脅威グループ「Storm-0506」「Storm-1175」「Octo Tempest」「Manatee Tempest」などが、ランサムウェア「Akira」および「Black Basta」を展開するために使用したという。
-
Storm-0506の侵害経路。最終段階で脆弱性を悪用 引用:Microsoft
脆弱性の根本原因は、「ESXi Admins」グループにデフォルトで管理者権限が与えられていることにある。グループのメンバーシップはセキュリティ識別子(SID: Security IDentifier)ではなく名前で区別されるため、同名のグループを作成できるユーザーは誰でも管理者権限を取得できる。Microsoftの研究者が特定した具体的な悪用手法は次の2つ。
- 「ESXi Admins」グループを作成する。この手法が積極的に悪用されている
- 既存のグループ名を「ESXi Admins」に変更する。この手法の悪用は確認されていない
Microsoftの調査によると「ESXi Admins」グループの管理者権限は、ドメイン内の他のグループを管理グループに割り当てた場合においてもすぐには削除されない。そのため、管理グループの作成だけでは安全とは限らない点に注意が必要。
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- VMware ESXi 8.0
- VMware ESXi 7.0
- VMware Cloud Foundation 5.x
- VMware Cloud Foundation 4.x
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- VMware ESXi 8.0 Update 3 (ISO Build 24022510)
- VMware Cloud Foundation 5.2 (Build 24108943)
VMware ESXi 7.0およびVMware Cloud Foundation 4.xの修正パッチは予定されていない。これら製品を利用している管理者にはアップグレードが望まれている。
対策
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在する製品を運用している管理者には、影響を確認してアップデートすることが推奨されている。アップデートできない場合は、「Secure Default Settings for ESXi Active Directory integration」にて示されている回避策により対策することができる。
