Microsoft Threat Intelligence cho biết, lỗ hổng CVE-2024-37085 trong trình quản lý ảo hóa VMware ESXi đang bị nhiều nhóm ransomware tăng cường khai thác. Lỗ hổng cho phép truy cập và kiểm soát trái phép các máy chủ ESXi, đe dọa an ninh cơ sở hạ tầng ảo hóa.

Báo cáo của Microsoft nêu rõ, các nhóm ransomware bao gồm Storm-0506, Storm-1175, Octo Tempest và Manatee Tempest đang khai thác lỗ hổng này. Cụ thể như Storm-0506 triển khai ransomware Black Basta để nhắm mục tiêu vào một công ty kỹ thuật ở Bắc Mỹ. Hacker ban đầu xâm phạm mạng thông qua lây nhiễm Qakbot, sau đó khai thác lỗ hổng Windows (CVE-2023-28252) để leo thang đặc quyền. Sử dụng các công cụ như Cobalt Strike và Pypykatz, hacker đánh cắp thông tin đăng nhập, di chuyển ngang và cuối cùng khai thác lỗ hổng trên VMware ESXi để chiếm quyền kiểm soát các trình quản lý ảo ESXi, dẫn đến mã hóa hàng loạt hệ thống.

VMware đã phát hành bản vá cho CVE-2024-37085. Các quản trị viên được khuyến nghị áp dụng bản cập nhật sớm nhất có thể.

Nguồn: Security Online