Des groupes de ransomware exploitent activement une vulnérabilité de contournement de l’authentification VMware ESXi (CVE-2024-37085), selon Microsoft. 

Le commentaire de Scott Caveza, Staff Research Engineer chez Tenable :

À propos de la vulnérabilité :

« Bien que l’alerte de sécurité pour la vulnérabilité CVE-2024-37085 lui attribue une note de gravité modérée, un score CVSSv3 de 6,8 et une note moyenne d’après le VPR (Vulnerability Priority Rating) de Tenable, une exploitation réussie pourrait être catastrophique pour les organisations touchées. 

« L’analyse par Microsoft des hôtes compromis a fourni des informations précieuses sur l’éventail de méthodes qui peuvent être déployées pour compromettre les hôtes ESXi. Toutes les méthodes d’attaque, nouvelles et existantes, semblent relativement simples et directes à exploiter, si les conditions sont réunies pour permettre l’exploitation en premier lieu. Bien qu’elle soit peu complexe, un attaquant doit d’abord disposer de privilèges élevés pour modifier la configuration de l’Active Directory (AD) sur l’hôte affecté. Un attaquant pourrait prendre le contrôle complet d’un hôte ESXi et accéder au contenu de toutes les machines virtuelles (VM) associées ».

Les groupes de ransomwares exploitant CVE-2024-37085 :

« Plusieurs groupes de ransomware ont ciblé les machines virtuelles dans leur chaîne d’attaque, ce qui peut avoir un effet paralysant sur les organisations touchées. Ces groupes motivés financièrement s’empressent de chiffrer ou de verrouiller le plus grand nombre d’hôtes possible, maximisant ainsi l’impact sur l’organisation victime dans l’espoir d’obtenir une rançon conséquente. Pour déployer les ransomwares et exfiltrer les données, ils s’appuient sur le phishing, le vol d’informations d’identification et l’exploitation de vulnérabilités connues et exploitables qui n’ont pas été corrigées par des organisations peu méfiantes. 

« Cela leur fournit une grande surface d’attaque, cependant l’exploitation dépend fortement du fait que l’hôte a été configuré pour utiliser Active Directory pour la gestion des utilisateurs. Un attaquant doit également disposer d’un accès privilégié à l’environnement Active Directory pour réussir à exploiter cette vulnérabilité. Malgré ce frein important, nous ne pouvons pas sous-estimer les capacités et la détermination des groupes de ransomware à escalader les privilèges et à progresser dans leur attaque une fois qu’ils ont obtenu l’accès initial. Bien qu’une vulnérabilité de gravité moyenne puisse sembler moins prioritaire dans l’application de correctifs, il s’agit d’un autre exemple de la façon dont les attaquants recherchent et exploitent toutes les vulnérabilités non corrigées qu’ils peuvent, souvent en enchaînant plusieurs vulnérabilités dans leur quête d’une prise de contrôle complète d’un réseau infiltré ».

À propos de Tenable

Tenable est la société de gestion de l’exposition au risque cyber. Environ 44 000 entreprises dans le monde font confiance à Tenable pour comprendre et réduire les risques cyber. En tant que créateur de Nessus, Tenable a étendu son expertise sur les vulnérabilités pour proposer la première plateforme au monde capable d’identifier et de sécuriser n’importe quel asset numérique, sur toute plateforme informatique. Parmi ses clients, Tenable compte environ 65 % des entreprises du Fortune 500, 50 % des entreprises du Global 2000 et de grandes administrations gouvernementales.

Pour en savoir plus, rendez-vous sur fr.tenable.com.