CISA Adds Vmware Esxi Bug To Its Known Exploited Vulnerabilities Catalog
2024/07/30 SecurityAffairs — 米国の CISA は、VMware ESXi に存在する認証バイパスの脆弱性 CVE-2024-37085 (CVSS:6.8) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。その一方で、7月29日に Microsoft が公表したのは、先日にパッチ適用された VMware ESXi の脆弱性 CVE-2024-37085 を、複数のランサムウェア・グループが悪用しているという警告である。
Microsoft は、「ESXi hypervisor の脆弱性を発見した。この脆弱性は、複数のランサムウェア・グループに悪用され、ドメイン結合された ESXi hypervisor の、完全な管理者権限が不正に取得されている」と述べている。
Active Directory (AD) 権限を持つ攻撃者は、AD から削除された後であっても、設定された AD グループ (デフォルトでは “ESXi Admins”) を再作成することで、以前においてユーザー管理に AD を使用するように設定された、ESXi ホストへのフル・アクセスが可能になる。
VMware は、ESXi 8.0 と VMware Cloud Foundation 5.x の脆弱性に対するパッチをリリースしているが、ESXi 7.0 と VMware Cloud Foundation 4.x に対するパッチは予定されていない。
Microsoft によると、Storm-0506/Storm-1175/Octo Tempest といった金銭的な動機に基づく複数のグループが、すでにこの脆弱性を悪用して、ランサムウェアを展開しているという。
同社は、「Storm-0506/Storm-1175/ Octo Tempest/ Manatee Tempest などのランサムウェア・グループが、攻撃後に多用している新しいテクニックを観測した。このテクニックを用いる複数のケースにおいては、Akira/Black Basta ランサムウェアが展開されている」と詳述している。
BOD (Binding Operational Directive)22-01 に基づき、既知の脆弱性を悪用した攻撃からネットワークを守るため、FCEB 機関は期日までに、特定された脆弱性に対処しなければならない。CISA は連邦政府機関に対し、対処の期日を 2024年8月20日までとしている。
専門家たちは、民間組織も KEV カタログ を見直し、インフラの脆弱性に対処することを推奨している。
VMware ESXi の脆弱性 CVE-2024-37085 が、CISA の KEV に登録されましたが、Microsoft も警告を発しているようです。この脆弱性の第一報は、2024/07/29 の「VMware ESXi への認証バイパスの攻撃:複数のランサムウェアが悪用 – Microsoft」であり、CVSS 値は 6.8 なのですが、積極的に悪用されています。おそらく、続報のある脆弱性になるのだと思えます。よろしければ、VMware + ESXi で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.