CVE-2024-37085

VMware ESXi

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-07-30

Официальное описание

VMware ESXi contains an authentication bypass vulnerability. A malicious actor with sufficient Active Directory (AD) permissions can gain full access to an ESXi host that was previously configured to use AD for user management by re-creating the configured AD group ('ESXi Admins' by default) after it was deleted from AD.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-37085 представляет собой логическую ошибку в механизме аутентификации VMware ESXi при интеграции с Active Directory (AD). Уязвимость позволяет злоумышленнику с правами администратора домена (или правами на создание групп) обойти проверку подлинности и получить полный доступ (root) к хосту ESXi.

Проблема заключается в том, что ESXi по умолчанию доверяет членам группы с именем «ESXi Admins». Если эта группа была удалена из AD, но хост ESXi продолжает использовать AD для управления пользователями, злоумышленник может заново создать группу с таким же именем и добавить в нее свою учетную запись. ESXi автоматически предоставит этой группе полные административные привилегии без дополнительной проверки.

Как исправить

Основным способом устранения уязвимости является обновление VMware ESXi до версий, в которых изменен алгоритм проверки членства в группах AD.

  1. Для ESXi 8.0: установите исправление ESXi 8.0 Update 3 (сборка 24022510 или выше).
  2. Для ESXi 7.0: установите исправление ESXi 7.0 Update 3q (сборка 24305021 или выше).

Команда для обновления через CLI (пример для ESXi 8.0 U3):

esxcli software profile update -p ESXi-8.0U3-24022510-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml

Временные меры

Если немедленное обновление невозможно, необходимо выполнить следующие действия для снижения риска:

  1. Измените имя группы администраторов ESXi по умолчанию на нестандартное, которое сложно угадать. Это делается через расширенные настройки (Advanced Settings) хоста:
esxcli system settings advanced set -o /Config/HostAgent/plugins/hostsvc/esxiAdminsGroup -s "Unique_Admin_Group_Name"
  1. Отключите автоматическое предоставление прав группе «ESXi Admins», установив параметр Config.HostAgent.plugins.hostsvc.esxiAdminsGroupAutoAdd в значение false:
esxcli system settings advanced set -o /Config/HostAgent/plugins/hostsvc/esxiAdminsGroupAutoAdd -b false
  1. Если интеграция с AD не является критически важной, выведите хост ESXi из домена Active Directory:
esxcli network ip dns search remove --domain yourdomain.com
esxcli system auth set --enabled false
  1. Проведите аудит групп в Active Directory. Убедитесь, что группа «ESXi Admins» (или иная, указанная в настройках) существует, защищена от удаления и в нее входят только доверенные пользователи.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей