Niezałatany błąd oprogramowania obecny na serwerach ESXi firmy VMWare jest wykorzystywany przez hakerów w celu rozprzestrzeniania oprogramowania ransomware na całym świecie.
Niezałatane serwery VMWare są wykorzystywane przez hakerów
Istniejąca od dwóch lat luka w oprogramowaniu serwerów ESXi firmy VMWare stała się celem szeroko zakrojonej kampanii hakerskiej. Celem ataku jest wdrożenie ESXiArgs, nowego wariantu oprogramowania ransomware. Szacuje się, że dotyczy to setek organizacji.
Francuski zespół reagowania na incydenty komputerowe (CERT) opublikował 3 lutego oświadczenie, w którym omówiono charakter ataków. w Stanowisko CERT, napisano, że kampanie „wydają się wykorzystywać ekspozycję ESXi hiperwizory które nie zostały wystarczająco szybko zaktualizowane poprawkami bezpieczeństwa. ”CERT zauważył również, że atakowany błąd „pozwala atakującemu na zdalne wykorzystanie dowolnego kodu”.
Organizacje zostały wezwane do załatania luki w hiperwizorze, aby uniknąć padnięcia ofiarą tej operacji ransomware. Jednak CERT przypomniał czytelnikom we wspomnianym oświadczeniu, że „aktualizacja produktu lub oprogramowania to delikatna sprawa czynność, którą należy wykonywać z zachowaniem ostrożności” oraz że „zaleca się przeprowadzanie testów tak często, jak to możliwe możliwy."
VMWare również wypowiedział się na temat sytuacji
Wraz z CERT i różnymi innymi podmiotami, VMWare opublikowało również post na temat tego globalnego ataku. W porada VMWare, napisano, że luka w zabezpieczeniach serwera (znana jako CVE-2021-21974) może dać złośliwym aktorom możliwość „wywołania problemu przepełnienia sterty w usłudze OpenSLP skutkującego zdalnym kodem wykonanie."
Firma VMWare zauważyła również, że w lutym 2021 r. wydała łatę usuwającą tę lukę, która może zostać wykorzystana do odcięcia wektora ataku złośliwych operatorów, a tym samym uniknięcia namierzenia.
Ten atak nie wydaje się być prowadzony przez państwo
Chociaż tożsamość atakujących w tej kampanii nie jest jeszcze znana, powiedział włoski Narodowy Urząd ds. Agencji (ACN), że obecnie nie ma dowodów sugerujących, że atak został przeprowadzony przez jakikolwiek podmiot państwowy (jak donosi agencji Reutera). Atak ten dotknął różne organizacje włoskie, a także organizacje we Francji, USA, Niemczech i Kanadzie.
Sugerowano, kto może być odpowiedzialny za tę kampanię, z oprogramowaniem różnych firm rodziny ransomware takie jak BlackCat, Agenda i Nokoyawa, które są brane pod uwagę. Czas pokaże, czy uda się odkryć tożsamość operatorów.
Ataki ransomware nadal stanowią poważne ryzyko
Z biegiem lat coraz więcej organizacji pada ofiarą ataków ransomware. Ten rodzaj cyberprzestępczości stał się niezwykle popularny wśród złośliwych aktorów, a ten globalny hack VMWare pokazuje, jak rozległe mogą być konsekwencje.