VMware ESXi 沙盒逃逸漏洞被勒索软件攻击活跃利用

VMware ESXi 漏洞遭勒索软件攻击利用，CISA 发出警告

美国网络安全与基础设施安全局（CISA）近日确认，勒索软件团伙正在积极利用 VMware ESXi 中的一个高危沙盒逃逸漏洞，该漏洞此前曾被用于零日攻击。CISA 已于周三将该漏洞添加至其《已知被利用漏洞目录（KEV）》，强调企业应紧急应用可用补丁。

CVE-2024-37085 技术细节

该漏洞编号为 CVE-2024-37085（CVSS 评分待定），允许攻击者在获得客户虚拟机（VM）的管理员访问权限后，逃逸沙盒并在底层 ESXi 虚拟化平台上执行任意代码。此类攻击可能导致系统完全被入侵、网络横向移动，甚至部署勒索软件或其他恶意载荷，风险极高。

VMware 已于2024 年 6 月的安全公告中发布了针对该漏洞的补丁，修复了 ESXi、Workstation 和 Fusion 产品中的多个安全问题。然而，CISA 将 CVE-2024-37085 纳入 KEV 目录，表明未修补的系统仍是威胁行为者的主要目标。

影响与威胁态势

勒索软件团伙（包括 LockBit 和 Black Basta 等知名组织）长期将 VMware ESXi 环境作为攻击目标，因其广泛应用于企业和云基础设施中。CVE-2024-37085 的利用反映了攻击者越来越关注虚拟化平台以扩大攻击影响的趋势。

运行未修补 ESXi 服务器的组织可能面临以下风险：

• 虚拟化平台完全被入侵，攻击者可控制所有托管的虚拟机。
• 数据加密与窃取，导致业务中断和财务损失。
• 网络横向移动，进一步扩大攻击范围。

安全建议

CISA 敦促企业立即修补 CVE-2024-37085。其他缓解措施包括：

• 隔离关键虚拟机，与安全性较低的环境分离，限制潜在损害。
• 监控 ESXi 主机异常活动，如意外的虚拟机迁移或未授权的管理操作。
• 实施网络分段，遏制潜在的入侵扩散。
• 定期查阅 VMware 安全公告，关注相关漏洞更新（如 CVE-2024-37086、CVE-2024-37087）。

更多指引请参考 CISA 的安全公告及 VMware 的补丁文档。

原文报道：Sergiu Gatlan 为 BleepingComputer 撰稿。