НАЗАД К НОВОСТЯМ
Срочные новостиВысокий

Уязвимость VMware ESXi активно эксплуатируется в атаках с использованием программ-вымогателей

2 мин чтенияИсточник: BleepingComputer

Агентство CISA подтвердило эксплуатацию критической уязвимости VMware ESXi (CVE-2024-37085) в кампаниях с программами-вымогателями. Организациям рекомендовано срочно установить патчи.

Уязвимость VMware ESXi эксплуатируется в атаках с программами-вымогателями — подтвердило CISA

Агентство по кибербезопасности и защите инфраструктуры США (CISA) подтвердило, что группы, распространяющие программы-вымогатели, активно эксплуатируют уязвимость высокой степени опасности в VMware ESXi, связанную с выходом из sandbox-изоляции. Ранее эта уязвимость использовалась в атаках нулевого дня. Агентство добавило её в свой каталог известных эксплуатируемых уязвимостей (KEV) в среду, подчеркнув необходимость срочного применения доступных патчей для организаций.

Технические детали CVE-2024-37085

Уязвимость, зарегистрированная как CVE-2024-37085 (оценка по шкале CVSS уточняется), позволяет злоумышленникам с административным доступом к гостевой виртуальной машине (VM) выйти за пределы sandbox-изоляции и выполнить произвольный код на базовом гипервизоре ESXi. Такой тип эксплуатации представляет серьёзную угрозу, так как может привести к полному компрометации системы, горизонтальному перемещению по сети и развёртыванию программ-вымогателей или других вредоносных нагрузок.

Компания VMware выпустила патчи для устранения этой уязвимости в своём июньском бюллетене безопасности за 2024 год, устранив несколько уязвимостей в продуктах ESXi, Workstation и Fusion. Однако включение CVE-2024-37085 в каталог KEV CISA указывает на то, что непропатченные системы остаются основной мишенью для киберпреступников.

Влияние и ландшафт угроз

Группы, распространяющие программы-вымогатели, включая участников известных операций, таких как LockBit и Black Basta, исторически нацеливались на среды VMware ESXi из-за их широкого распространения в корпоративных и облачных инфраструктурах. Эксплуатация CVE-2024-37085 соответствует общей тенденции, при которой злоумышленники сосредотачиваются на платформах виртуализации для максимизации ущерба.

Организации, использующие непропатченные серверы ESXi, рискуют столкнуться с:

  • Полной компрометацией гипервизора, что позволяет злоумышленникам контролировать все размещённые виртуальные машины.
  • Шифрованием данных и их эксфильтрацией, что приводит к сбоям в работе и финансовым потерям.
  • Горизонтальным перемещением в связанные сети, расширяя масштабы атаки.

Рекомендации для специалистов по безопасности

CISA настоятельно рекомендует организациям незамедлительно установить патчи для уязвимости CVE-2024-37085. Дополнительные меры защиты включают:

  • Изоляцию критически важных виртуальных машин от менее защищённых сред для ограничения потенциального ущерба.
  • Мониторинг необычной активности на хостах ESXi, такой как неожиданные миграции виртуальных машин или несанкционированные административные действия.
  • Внедрение сегментации сети для локализации возможных инцидентов.
  • Проверку бюллетеней безопасности VMware на предмет обновлений по связанным уязвимостям (например, CVE-2024-37086, CVE-2024-37087).

Для получения дополнительной информации обратитесь к рекомендациям CISA и документации по патчам VMware.

Оригинальный материал подготовлен Сергеем Гатланом для BleepingComputer.

Поделиться

TwitterLinkedIn