Como ya sabréis el pasado el pasado agosto publicaron una vulnerabilidad de vmware en la cual podría meterse en tu plataforma de virtualización y encriptar todo tus vmdk dejándote sin ninguna maquina operativa.
La vulnerabilidad es CVE-2024–37085 esta y aquí tienes más información sobre ella en enlace del incibe. La vulnerabilidad consiste en que existe una manera muy rápida de agregar a usuario como administrador de los servidores esxi, creando un grupo, llamado ESX Admins dentro de nuestro directorio activo y agregar allí los usuarios que queremos que sean administradores. Cabe recordar que siempre debemos aplicar los parches de seguridad del fabricante y tenerlos lo más al día posible.
Bien quitando el parche, yo recomiendo una buena practica sobre nuestra plataforma de VMware seria eliminar la referencia de este grupo, y es una buena solución para el cumplir el esquema nacional de seguridad, pudiendo dejar metidos en dominio los ESXI y así nos ahorramos estándares que nos puede dar un disgusto.
Lo primero que vamos a hacer es, borrar el grupo de DC:
Después, ver las referencias de este grupo en nuestros esxi
Para ello vamos a ir a manage > system > advanced settings
Y una vez allí vamos a filtrar por Config.HostAgent.plugins.
Buscamos estos 3 campos
- Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd
Nombre del grupo de Active Directory al que se le otorgan automáticamente privilegios de administrador en ESX. NOTA: Si se cambia el nombre del grupo, no se eliminan los permisos del grupo anterior.
- Config.HostAgent.plugins.vimsvc.authValidateInterval
Controla si se le otorgan automáticamente permisos de administrador al grupo especificado por ‘esxAdminsGroup’. NOTA: Si se cambia a falso, no se eliminan los permisos ya otorgados al grupo.
- Config.HostAgent.plugins.hostsvc.esxAdminsGroup
Número de minutos entre cada validación de todos los usuarios y grupos conocidos: configúrelo en cero para deshabilitar la validación.
Y los cambiamos a los siguientes:
Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd
De “ESX Admins” a “”
Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd
De “true” a “false”
Config.HostAgent.plugins.vimsvc.authValidateInterval
De “1440″ a “90”
Habilitamos el servicio ssh en el servidor esxi para acceder
Tengo un esxi que no está en dominio y me muestra lo siguiente:
esxcli system permission list
Vemos que al no estar en dominio no tiene aún la integración de grupo.
Si lo meto en dominio, nos muestra los siguiente:
Este comando nos muestra lo mismo que esta referencia por GUI
Botón derecho sobre manage y vamos a permissions
Como veis muestra lo mismo, y ya aparece esa ese grupo.
Si probamos borrarlo de GUI, aparentemente, nos deja, pero al volver aparece por lo que tenemos que quitarlo vía comandos.
Nos conectamos por ssh
usr/lib/vmware/sqlite/bin/sqlite3 /etc/vmware/configstore/current-store-1 "select * from Config where Component='esx' and ConfigGroup='authorization' and UserValue like '%esx^admins%'"
nos muestra:
esx|authorization|permissions|52 e4 d4 10 69 e4 b8 56-86 94 50 79 f1 76 e8 b1|2024-11-19 08:12:42|2024-11-19 08:12:42|1.3|1||{«cs_generated_id»:»52 e4 d4 10 69 e4 b8 56-86 94 50 79 f1 76 e8 b1″,»principal»:»LAB\\esx^admins»,»is_group»:true,»access_mode»:»Admin»}||||1
Esto lo que hace es una consulta a la parte de autorizaciones de la bbdd local de nuestro esxi
Lanzamos esto:
/usr/lib/vmware/sqlite/bin/sqlite3 /etc/vmware/configstore/current-store-1 "delete from Config where Component='esx' and ConfigGroup='authorization' and UserValue like '%esx^admins%'"
Reiniciamos el servicio hosts
/etc/init.d/hostd restart
Y ya la referencia a desaparecido
Esto en la versión 8 se ha corregido en el ultimo parche del 12 de agosto de 2024
En la versión 7 me he encontrado referencias incluso aplicando el ultimo parche, por lo que es bueno que le echéis un vistazo a vuestros esxi
Espero que os sirva