引言
今年夏季,VMware ESXi发布了一个新的CVE漏洞,影响那些通过Active Directory进行用户认证的ESXi主机。这实际上属于隐藏配置带来的意外副作用,但无疑构成了安全问题。
关键风险在于:当ESXi主机加入AD域时,ESX Admins组将自动获得ESXi主机的管理员权限!幸运的是,如果ESXi主机未加入域,则不存在此问题。
值得注意的是,此行为早有文档记录。通过Wayback Machine查阅VMware官方文档可知,自2016年11月发布的ESXi 6.5版本起就存在该特性。当前(2024年8月)安全社区正在热议此漏洞,预计VMware将在后续补丁中修改此行为。经查看8.0 U3版本说明,仅提及CVE已修复但未说明具体方式。
核心问题
- 权限授予机制:加入AD域的ESXi主机会默认授予ESX Admins组root权限
- 命名风险:攻击者可通过创建或重命名组的方式利用此漏洞
- 绕过监控:通过该组直接访问ESXi主机的操作不会记录在vCenter日志中
攻击场景
具备AD权限的攻击者可:
- 通过计算机账户或OU结构发现已加入域的ESXi主机
- 查找或创建ESX Admins组
- 直接部署勒索软件,利用ESXi主机的高速网络和存储连接进行大规模加密
应对措施
-
主动管理:
- 要求AD团队创建受控的ESX Admins组并置于受限OU中
- 定期审查访问vCenter/ESXi的权限组清单
-
监控措施:
- 让SOC团队监控AD中针对该组的活动日志
- 确保ESXi主机系统日志集中聚合分析
-
架构优化:
- 使用vSphere认证代理替代直接加域(该服务运行于vCenter)
- 将ESXi主机移出AD域(需注意DNS记录和主机名变更影响)
-
诱捕策略:
- 对未加域的环境,可将该组设为蜜罐用于攻击检测
参考资源
- VMware知识库:ESXi上使用ESX Admins AD组
- NIST NVD:CVE-2024-37085详细信息
- Microsoft声明:勒索软件运营商利用ESXi漏洞
- VMware 6.7 STIG安全指南(同样提及此问题)
如有遗漏欢迎补充指正!
