VOLTAR ÀS NOTÍCIAS
Última HoraAlto

Falha de Escape de Sandbox no VMware ESXi Explorada Ativamente em Campanhas de Ransomware

2 min de leituraFonte: BleepingComputer

CISA confirma exploração ativa da vulnerabilidade CVE-2024-37085 em ataques de ransomware. Saiba como proteger seus sistemas VMware ESXi contra invasões e movimentação lateral.

Vulnerabilidade no VMware ESXi Explorada em Ataques de Ransomware, Confirma CISA

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) confirmou que grupos de ransomware estão explorando ativamente uma vulnerabilidade de alta gravidade de escape de sandbox no VMware ESXi, previamente utilizada em ataques de zero-day. A agência adicionou a falha ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) na quarta-feira, destacando a necessidade urgente de as organizações aplicarem os patches disponíveis.

Detalhes Técnicos da CVE-2024-37085

A vulnerabilidade, rastreada como CVE-2024-37085 (pontuação CVSS pendente), permite que atacantes com acesso administrativo a uma máquina virtual (VM) convidada escapem do sandbox e executem código arbitrário no hipervisor ESXi subjacente. Esse tipo de exploração representa riscos graves, pois pode levar ao comprometimento total do sistema, movimentação lateral dentro das redes e implantação de ransomware ou outras cargas maliciosas.

A VMware lançou patches para a falha em seu boletim de segurança de junho de 2024, abordando múltiplas vulnerabilidades nos produtos ESXi, Workstation e Fusion. No entanto, a inclusão da CVE-2024-37085 no catálogo KEV da CISA indica que sistemas não corrigidos continuam sendo alvos primários para agentes de ameaças.

Impacto e Panorama de Ameaças

Grupos de ransomware, incluindo aqueles afiliados a operações de alto perfil como LockBit e Black Basta, têm historicamente direcionado ambientes VMware ESXi devido à sua prevalência em infraestruturas empresariais e em nuvem. A exploração da CVE-2024-37085 está alinhada com uma tendência mais ampla de atacantes focarem em plataformas de virtualização para maximizar seu impacto.

Organizações que executam servidores ESXi sem patches correm o risco de:

  • Comprometimento total do hipervisor, permitindo que atacantes controlem todas as VMs hospedadas.
  • Criptografia e exfiltração de dados, levando a interrupções operacionais e perdas financeiras.
  • Movimentação lateral em redes conectadas, ampliando o escopo de um ataque.

Recomendações para Equipes de Segurança

A CISA insta as organizações a priorizarem a aplicação imediata do patch para a CVE-2024-37085. Mitigações adicionais incluem:

  • Isolar VMs críticas de ambientes menos seguros para limitar possíveis danos.
  • Monitorar atividades incomuns em hosts ESXi, como migrações inesperadas de VMs ou ações administrativas não autorizadas.
  • Implementar segmentação de rede para conter possíveis violações.
  • Revisar os boletins de segurança da VMware para atualizações sobre vulnerabilidades relacionadas (por exemplo, CVE-2024-37086, CVE-2024-37087).

Para orientações adicionais, consulte o boletim da CISA e a documentação de patches da VMware.

Reportagem original de Sergiu Gatlan para o BleepingComputer.

Compartilhar

TwitterLinkedIn