مایکروسافت هشدار داد که گروههای باجافزار به طور فعال از آسیبپذیری دور زدن احراز هویت VMware ESXi با شناسه CVE-2024-37085 و امتیاز 6.8، در حملات سوء استفاده میکنند.
این نقص امنیتی که توسط محققان امنیتی مایکروسافت با انتشار ESXi 8.0 U3 در 25 ژوئن برطرف شد، نفوذگران را قادر میسازد تا با ایجاد و افزودن کاربر جدید در «ESX Admins»، به طور خودکار دسترسی مدیریتی کامل در Hypervisor ESXi را به دست آورند.
Broadcom تصریح کرد: یک عامل مخرب با مجوزهای Active Directory (AD) کافی میتواند به یک ESXi host که قبلاً برای استفاده از AD جهت مدیریت کاربر پیکربندی شده بود، با ایجاد مجدد گروه AD پیکربندی شده (به طور پیش فرض ‘ESXi Admins‘) پس از حذف از AD، دسترسی کامل داشته باشد.
آسیبپذیری مذکور تاکنون توسط اپراتورهای باجافزاری Storm-0506، Storm-1175، Octo Tempest و Manatee Tempest، در حملاتی که منجر به استقرار باجافزار Akira و Black Basta شده، مورد سوء استفاده قرار گرفته است.
https://www.bleepingcomputer.com/news/microsoft/microsoft-ransomware-gangs-exploit-vmware-esxi-auth-bypass-in-attacks/
