Chiến dịch tấn công Ransomware quy mô lớn khai thác lỗ hổng trên ESXi Hypervisor
Các nhà nghiên cứu bảo mật của Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng (CVE-2024-37085) trong ESXi hypervisors. Hiện tại, lỗ hổng này đang được lợi dụng để tấn công ransomware nhằm chiếm quyền quản trị trên các máy chủ ESXi hypervisors.
1. Chi tiết lỗ hổng
Định danh lỗ hỏng: CVE-2024-37085
Mức độ nghiêm trọng: Medium
Điểm CVSSv3: 6.8
Mô tả chung: Lỗ hổng này liên quan đến một domain group mà các thành viên trong domain đó được cấp đầy đủ quyền quản trị vào ESXi hypervisor theo mặc định mà không cần xác thực.
Phiên bản bị ảnh hưởng:
VMware ESXi 8.0 (đã được vá trong phiên bản
ESXi80U3-24022510
)VMware ESXi 7.0 (chưa có bản vá)
VMware Cloud Foundation 5.x (đã được vá trong phiên bản
5.2
)VMware Cloud Foundation 4.x (chưa có bản vá)
2. Cơ chế khai thác
Các nhà nghiên cứu bảo mật đã phát hiện ra một kỹ thuật post-compromise mới được các nhóm ransomware như Storm-0506, Storm-1175, Octo Tempest và Manatee Tempest sử dụng trong nhiều cuộc tấn công, với mục đích để triển khai mã độc tống tiền Akira và Black Basta. Kỹ thuật bao gồm chạy các câu lệnh, dẫn đến việc tạo ra một nhóm có tên ESX Admins trong domain và thêm người dùng vào nhóm này:
net group "ESX Admins" /domain /add
net group "ESX Admins" username /domain /add
Mục đích của kẻ tấn công khi sử dụng lệnh này là để khai thác một lỗ hổng trong các hypervisor ESXi trong doamin, cho phép kẻ tấn công nâng cao quyền hạn của họ lên full administrative access trên ESXi hypervisor.
Có ba phương pháp để khai thác lỗ hổng này:
Thêm group ESX Admins vào domain và thêm người dùng vào đó.
Đổi tên group bất kỳ trong domain thành ESX Admins và thêm người dùng vào đó hoặc sử dụng thành viên hiện có trong group.
Refresh quyền hạn của ESXi hypervisor.
Việc khai thác thành công dẫn đến kẻ tấn công có thể lấy được full administrative access vào các ESXi hypervisor, cho phép mã hóa file của hypervisor, ảnh hưởng đến khả năng hoạt động của các máy chủ. Nó cũng cho phép kẻ tấn công truy cập vào các máy ảo để thu thập dữ liệu hoặc lây lan trong mạng.
3. Phân tích kịch bản tấn công
Đầu năm 2024, một công ty ở Bắc Mỹ đã bị ảnh hưởng bởi một cuộc tấn công ransomware Black Basta bởi nhóm Storm-0506. Trong cuộc tấn công này, kẻ tấn công đã lợi dụng lỗ hổng CVE-2024-37085 để leo thang đặc quyền trong các ESXi hypervisor mà tổ chức này sử dụng.
Kẻ tấn công triển khai initial access vào tổ chức thông qua mã độc Qakbot, sau đó khai thác một lỗ hổng trong Windows CLFS (CVE-2023-28252) để nâng cao quyền hạn trên các thiết bị bị ảnh hưởng. Tiếp đó, kẻ tấn công sử dụng Cobalt Strike và Pypykatz (phiên bản Python của Mimikatz) để đánh cắp thông tin đăng nhập của hai domain administrators và lây lan đến bốn domain controllers khác.
Trên các domain controllers bị xâm nhập, kẻ tấn công đã cài đặt các cơ chế persistence bằng cách sử dụng các tools tùy chỉnh và một công cụ SystemBC implant. Chúng cũng đã cố gắng tấn công brute force RDP đến nhiều thiết bị khác nhau với mục đích là để tiếp tục lây lan. Kẻ tấn công sau đó đã cố gắng can thiệp vào Microsoft Defender Antivirus để tránh bị phát hiện.
Cuối cùng, kẻ tấn công tạo group ESX Admins trong domain và thêm một tài khoản người dùng mới vào đó. Sau các hành động này, máy chủ ESXi đã bị mã hóa dữ liệu và không còn kiểm soát được các máy ảo được lưu trữ trên nó. Ngoài ra, kẻ tấn công cũng sử dụng PsExec để mã hóa các thiết bị không được lưu trữ trên hypervisor ESXi.
Dưới đây là attack chain của cuộc tấn công Storm-0506 này:
4. Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức một số cách để giảm thiểu rủi ro:
Cập nhật bản vá: Đảm bảo cập nhật các bản vá mới nhất do VMware phát hành trên tất cả các ESXi hypervisors.
Cấu hình an toàn: Kiểm tra xem group "ESX Admins" có tồn tại trong domain hay không và tăng cường bảo mật cho group đó.
Từ chối quyền truy cập của group ESX Admins: Tắt tính năng cấp full quyền cho group này bằng cách sử dụng cài đặt nâng cao tại đường dẫn: Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd.
Thay đổi admin group: Thay đổi admin group thành một nhóm khác trong ESXi hypervisor.
Sử dụng các công cụ giám sát: Gửi log ESXi tới hệ thống SIEM và giám sát toàn bộ các hành vi đáng ngờ.
Tăng cường phương pháp xác thực: Sử dụng MFA, kết hợp với các phương pháp passwordless authentication nếu khả thi.
5. Tham khảo
CVE-2024-37085 Detail:
Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption: https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption
VMware ESXi CVE-2024-37085 Targeted in Ransomware Campaigns: https://www.rapid7.com/blog/post/2024/07/30/vmware-esxi-cve-2024-37085-targeted-in-ransomware-campaigns