За гранью удобства: разоблачение рисков интеграции VMware vSphere с Active Directory

VMware vSphere от Broadcom остается ключевым для виртуализации частных облаков, поскольку рабочие нагрузки возвращаются из публичных облаков. Прямая интеграция vSphere с Active Directory (AD) упрощает администрирование, но создает значительную уязвимость безопасности. Кompromat AD-учетных данных предоставляет доступ к гипервизору, позволяя контролировать хосты ESXi и vCenter. Рansomware, нацеленный на vSphere, вызывает массовую парализацию инфраструктуры, особенно с учетом скорого окончания поддержки vSphere 7.x. Активная оборона является критически важной из-за сложности и стоимости восстановления после таких атак. Врожденные риски интеграции vSphere с AD часто недооцениваются, что происходит из-за устаревшей архитектуры и устаревших предположений о безопасности. Специализированная природа гипервизора ESXi препятствует использованию стандартных инструментов безопасности, таких как агенты EDR, оставляя его уязвимым. Акторы угроз все чаще нацеливаются на гипервизор из-за этого пробела, используя скомпрометированные учетные данные и неправильные конфигурации. Рansomware, осведомленный о гипервизоре, шифрует виртуальные диски, отключая множество виртуальных машин одновременно, что представляет собой серьезную угрозу. Понимание работы агента Likewise, ответственного за интеграцию vSphere с AD, выявляет уязвимости в аутентификации и доверительных отношениях по умолчанию.