Kritische Sicherheitslücke in VMware ESXi - aktiv ausgenutzt - Update verfügbar

30. Juli 2024

Beschreibung

Sicherheitsforscher:innen von Microsoft haben eine kritische Sicherheitslücke in VMware ESXi entdeckt, deren Ausnutzung es Angreifer:innen ermöglicht die vollständige Kontrolle über einen von der Schwachstelle betroffenen Hypervisor zu übernehmen. Die Lücke wird bereits aktiv für Ransomware-Angriffe missbraucht.

CVE-Nummer(n): CVE-2024-37085

CVSS Base Score: 6.8

Auswirkungen

Ein böswilliger Akteur mit ausreichenden Active Directory (AD)-Berechtigungen kann, unter der Voraussetzung, dass die Benutzer:innenverwaltung des ESXi über AD erfolgt, vollen Zugriff auf einen ESXi-Host erlangen, indem er eine Gruppe mit dem Namen "ESXi Admins" erstellt beziehungsweise dieser beitritt.

Betroffene Systeme

  • VMWare ESXi 8.0
  • VMWare ESXi 7.0
  • VMware Cloud Foundation 5.x
  • VMware Cloud Foundation 4.x

Abhilfe

Für VMware ESXi 8.0 und VMware Cloud Foundation 5.x hat VMware bereits Sicherheitsaktualisierungen veröffentlicht. Für VMware ESXi 7.0 und VMware Cloud Foundation 4.x plant das Unternehmen keinen Patch, ein Update auf eine unterstützte Version ist daher dringend empfohlen. Details dazu finden sich im offiziellen Advisory des Herstellers, Workarounds stehen ebenfalls zur Verfügung.

Zusätzlich ist es nach dem Einspielen der Aktualisierungen empfehlenswert die Konfiguration betroffener Systeme zu überprüfen und sicherzustellen, dass die Gruppe "ESX Admins" entweder in Active Directory existiert und entsprechend gehärtet ist oder der ESXi-Server so konfiguriert ist, dass er diese Gruppe ignoriert.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

VMSA-2024-0013:VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2024-37085, CVE-2024-37086, CVE-2024-37087) (Englisch)
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505

Secure Default Settings for ESXi Active Directory integration (Englisch)
https://knowledge.broadcom.com/external/article/369707/

Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption (Englisch)
https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/