VMware ESXi CVE-2024-37085漏洞验证分析

渗透技巧 3个月前 admin

190 0 0

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）

漏洞概述

近日，微软披露了一个ESXi漏洞（编号为CVE-2024-37085）的在野攻击报告[1]。该漏洞是VMware ESXi的一个认证绕过漏洞，已被多个勒索软件所利用。通过该漏洞，攻击者可获取加入AD域的ESXi的完全操作权限，控制该ESXi中包含的虚拟机等。

漏洞的NVD描述为[2]：VMware ESXi contains an authentication bypass vulnerability. A malicious actor with sufficient Active Directory (AD) permissions can gain full access to an ESXi host that was previously configured to use AD for user management by re-creating the configured AD group (‘ESXi Admins’ by default) after it was deleted from AD。

漏洞影响版本

官方发布的ESXi影响版本：

VMware Product	Version	Running On
ESXi	8.0	Any
ESXi	7.0	Any

经过启明星辰ADLab的测试和验证，发现低版本的ESXi同样受影响。实测的ESXi影响版本：

VMware Product	漏洞存在性
ESXi 8.0	存在
ESXi 7.0	存在
ESXi 6.7	存在
ESXi 5.5	存在

漏洞机制

根据官方文档的描述[3]，为了方便管理大量ESXi主机，VMware ESXi支持通过Active Directory (AD)来管理账号权限。其中，对于加入AD域的ESXi主机，默认设置了AD域ESX Admins用户组具有ESXi主机的管理员权限。因此，攻击者如果在AD域中能创建ESX Admins组或更改现有组为ESX Admin，就能具备对加入该域的ESXi主机的完全控制。

微软研究人员披露了此漏洞的三种利用方式：

创建并添加用户：创建“ESX Admins”组，添加用户，进而获得完全管理权限。
重命名组并添加用户：重命名现有组为“ESX Admins”，添加用户或使用现有成员，进而获得完全管理权限。
权限刷新：在网络管理员把权限转移给AD域的其它组后，ESX Admins组的管理权限不会立即消失，仍可被利用。

ADLab研究员对三种利用方法进行了复现验证。

漏洞验证

本节的漏洞验证以ESXi6.7为例，域控在Server2012服务器中，ESXi6.7加入了该域控。

4.1 方法一验证

（1）在ESXi 6.7加入域控后，域控默认是没有ESX Admins组的，如下图所示。

（2）使用test账户登录ESXi（该账号目前还不在”ESX Admins”组内）。

登录失败，提示操作权限被拒绝：

（3）使用net group命令，创建1个名为ESX Admins的用户组。

使用net group命令，将test用户加入ESX Admins组：

使用test用户登录，能够登录成功且能执行高权限操作：

VMware ESXi CVE-2024-37085漏洞验证分析

经测试，该方法在其它ESXi版本上也能成功，具体测试版本有：

VMware Product	方法可利用
ESXi 8.0	是
ESXi 7.0	是
ESXi 6.7	是
ESXi 5.5	是

4.2 方法二验证

（1）在ESXi 6.7加入域控后，域控默认是没有ESX Admins组。

（2）首先，创建1个名为g1的组，把test用户加到g1组，使用test登录ESXi。

登录失败，提示操作权限被拒绝。

（3）然后，修改g1的名称为ESX Admins。

（4）最后，利用test用户登录ESXi。

登录成功，查看权限为管理员。

经测试，该方法在其它ESXi版本上也能成功，具体测试版本有：

VMware Product	方法可利用
ESXi 8.0	是
ESXi 7.0	是
ESXi 6.7	是
ESXi 5.5	是

4.3 方法三验证

（1）在ESXi 6.7加入域控后，创建ESX Admins组和g1组，test和test2分别加入2个组。

（2）登录ESXi尝试。

用户test属于ESX Admins组，能够成功登录。

用户test2属于g1组，登录失败，提示操作权限被拒绝。

（3）修改ESXi的配置，修改默认的域管理员组为g1。

用户test2登录，能够登录成功。

用户test登录，仍然能登录成功。尽管，此时test用户实际已经不属于ESXi配置的域管理员组。

经测试，该方法在其它ESXi版本上也能成功，具体测试版本有：

VMware Product	方法可利用
ESXi 8.0	是
ESXi 7.0	是
ESXi 6.7	是
ESXi 5.5	是

漏洞修复

博通官方给了相关修复版本的ESXi下载链接和文档，将ESXi升级到最新的修复版本即可，补丁下载地址：

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/security-advisories/0/24505

参考链接：

[1] https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-37085

[3] https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/security-advisories/0/24505

[4] https://blogs.vmware.com/vsphere/2012/09/joining-vsphere-hosts-to-active-directory.html

启明星辰积极防御实验室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”概念首推者。截至目前，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计发布安全漏洞5000余个，持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、数据安全研究、5G安全研究、人工智能安全研究、移动安全研究、物联网安全研究、车联网安全研究、工控安全研究、信创安全研究、云安全研究、无线安全研究、高级威胁研究、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。

VMware ESXi CVE-2024-37085漏洞验证分析