A Microsoft egy súlyos biztonsági hibát talált a domain-be léptetett ESXi-kel kapcsolatban

A Microsoft jelezte, hogy egy súlyos, a ransomware-operátorok előszeretettel kihasznált sebezhetőségre (CVE-2024-37085) bukkant a domain-be léptett VMware ESXi-kel kapcsolatban. A hibát kihasználva a támadók adminisztrátori jogokhoz jutva titkosíthatják a kritikus virtuális gépeket egy ransomware támadás keretében.

Részletek itt.

Hozzászólások

Szerkesztve: 2024. 07. 30., k – 08:19

Nem ez az egyetlen ellenérv az vSphere Microsoft AD-be való integrációjával kapcsolatban. Csak egy újabb elem a lista végére.

trey @ gépház

És? Mi KKV-kal dolgozunk. Nem az én problémám, tehát nem tudom értelmezni a "hogyan menedzselünk több száz vagy ezer usert" problémakört vSpehere-ben.

Aki nagy lóvéért dolgozik, az foglalkozzon nagy dolgokkal.

trey @ gépház

A cikkben nem arról van szó, hogy akkor van vulnerability, ha az ESXi host van joinolva AD-ba? Normális helyen (még kkv-knál is, főleg most, hogy már csak olyan csomag van, aminek része a vCenter is) ezek vCenterből vannak kezelve, ott az AD integrációhoz elég, ha Identity souce-ként van felvéve az AD, nem kell Hostot joinolni, annak elég egy jól megválasztott és borítékolt root jelszó. 

Fluktuáció esetén így nyugodtan lehet zárolni a távozó user accountját.

mennyire gyakori hogy Vcenter mellett be kell lépni az esxi hosztokra is?

Hát ha éppen le lett állítva minden (tervezett leállás/vagy nem tervezett), az összes DC-d virtuális, amiket el kellene indítani a vCenter-ből, de az éppen a DC-ken futó AD-ből authentikálna a vCenter a belépéshez .... :D :D Nem, nem mindenhol van beállítva automatikus indulásra. Van, ahol kifejezetten nincs.

Addig nem szokott ezzel baj lenni, amíg nincs baj ...

trey @ gépház

Ha nem annyira hülye az üzemeltető hogy az összes DC-t egyszerre kapcsolja le, akkor ilyen csak tervezetlen lehet.

És mennyi ilyen hülyével hoz össze az élet (elfelejtettük, annyi évvel ezelőtt volt!)!

Ebben az esetben a vmware nem támogat cached AD credential-t?

Amikor ilyennel gond volt, akkor vagy nem volt, vagy nem működött. Erre nem bíznék nagy sietségben való újraindítást.

Szerk: Nagy cumesz még akkor szokott lenni, ha pluszban az ESXi-k strict lockdown módban vannak :D :D :D

trey @ gépház

"VMware ESXi hypervisors joined to an Active Directory domain consider any member of a domain group named “ESX Admins” to have full administrative access by default. This group is not a built-in group in Active Directory and does not exist by default. ESXi hypervisors do not validate that such a group exists when the server is joined to a domain and still treats any members of a group with this name with full administrative access, even if the group did not originally exist. Additionally, the membership in the group is determined by name and not by security identifier (SID)."

 

/o\

Szerkesztve: 2024. 07. 30., k – 09:43

"A Microsoft egy súlyos biztonsági hibát talált" - ...még ha így lenne :) De sajnos a botnet és ransomware operátorok találták meg.

Amúgy ezek az igazán finom sebezhetőségek. Semmi buffer overflow, semmi memória-felülírás, semmi spekulatív végrehajtás, versenyhelyzet vagy side-channel attack. Csak 2 standard commandline parancs és már admin is vagy :)

Régóta vágyok én, az androidok mezonkincsére már!

Gondolom ez csak úgy történhet meg hogy a vsphere lehetőséget biztosít egyéni csoportoknak delegálni admin hozzáférést,
de attól függetlenül is lookup-olja az "Esxi Admin" csoportot ha nincs is beállítva. 
Ez így ordas nagy hiba a vmware-től. 

"domain-be léptetett ESXi": értelmezhetetlen szófordulat :) 

Nem is tudom. Ha vcenter alá van rendelve a host, akkor maga a host nincs beléptetve ha jól tudom, így többnyire nem érintettek a rendszerek.