Microsoft informó que las organizaciones de ransomware están explotando activamente una vulnerabilidad de omisión de autenticación en VMware ESXi, identificada como CVE-2024-37085. Esta falla de seguridad, descubierta por los investigadores de Microsoft Edan Zwick, Danielle Kuznets Nohi y Meitar Pinto, y corregida con el lanzamiento de ESXi 8.0 U3 el 25 de junio, permite a los atacantes agregar un nuevo usuario al grupo «ESX Admins», otorgándoles privilegios administrativos completos en el hipervisor ESXi.
De igual manera, VMware ha corregido otras dos vulnerabilidades (CVE-2024-37086 y CVE-2024-37087) que afectan a los productos ESXi, Cloud Foundation y vCenter Server.
- CVE-2024-37085 (CVSS 6.8): La vulnerabilidad puede ser explotada por un actor malintencionado con permisos adecuados en Active Directory (AD) para obtener acceso completo a un host ESXi previamente configurado para utilizar AD en la gestión de usuarios. Esto se logra mediante la recreación del grupo configurado en AD (por defecto ‘ESXi Admins’) tras haber sido eliminado de AD.
El impacto de esta vulnerabilidad es considerable, ya que permite a los atacantes asumir el control administrativo del host ESXi. Esto podría resultar en acceso no autorizado a máquinas virtuales, compromisos de datos y posibles interrupciones de los servicios.
- CVE-2024-37086 (CVSS 6.8): La vulnerabilidad implica una falla de lectura fuera de los límites establecidos. Un actor malintencionado, con privilegios administrativos locales en una máquina virtual que tenga una instantánea existente, puede explotar esta vulnerabilidad, lo que podría ocasionar una condición de denegación de servicio en el host ESXi.
- CVE-2024-37087 (CVSS 5.3): Esta vulnerabilidad podría permitir a un actor malintencionado con acceso a la red de vCenter Server provocar una condición de denegación de servicio.
Productos, versiones afectadas y corregidas:
| Vulnerabilidad | CVSS | Producto | Versión afectada | Versión corregida |
| CVE-2024-37085 | 6.8 | ESXi VMware Cloud Foundation | 8.0 – 7.0 5.x – 4x | 8.0 U3 5.2 |
| CVE-2024-37086 | 6.8 | ESXi VMware Cloud Foundation | 8.0 – 7.0 5.x – 4x | 8.0 U3 – 7.0 U3q 5.2 |
| CVE-2024-37087 | 5.3 | ESXi VMware Cloud Foundation | 8.0 – 7.0 5.x – 4x | 8.0 U3 – 7.0 U3q 5.2 |
En caso de no poder actualizar de manera inmediata, se sugiere tomar las medidas de mitigación descritas para reducir el riesgo de explotación para CVE-2024-37085, cambie las siguientes opciones avanzadas de ESXi:
- Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd de true a false.
- Config.HostAgent.plugins.vimsvc.authValidateInterval de 1440 a 90.
- Config.HostAgent.plugins.hostsvc.esxAdminsGroup de «ESX Admins» a «».
Nota: El grupo de administradores de ESX se agregará al host con privilegios de administrador una vez que el host se agregue a Active Directory. Se recomienda cambiar esta configuración después de unirse al dominio.
Recomendaciones:
- Actualizar los productos afectados de VMware a la última versión disponible.
- Configurar controles de seguridad adicionales en Active Directory.
- Monitorear el tráfico de red en busca de actividad inusual.
Referencias: