Niezałatana luka w zabezpieczeniach VMWare wykorzystywana przez hakerów do ataku na serwery i rozprzestrzeniania ransomware

Niezałatany błąd oprogramowania obecny na serwerach ESXi firmy VMWare jest wykorzystywany przez hakerów w celu rozprzestrzeniania oprogramowania ransomware na całym świecie.

Niezałatane serwery VMWare są wykorzystywane przez hakerów

Istniejąca od dwóch lat luka w oprogramowaniu serwerów ESXi firmy VMWare stała się celem szeroko zakrojonej kampanii hakerskiej. Celem ataku jest wdrożenie ESXiArgs, nowego wariantu oprogramowania ransomware. Szacuje się, że dotyczy to setek organizacji.

Francuski zespół reagowania na incydenty komputerowe (CERT) opublikował 3 lutego oświadczenie, w którym omówiono charakter ataków. W poście CERT napisano, że kampanie „wydaje się, że wykorzystały ujawnienie hiperwizorów ESXi, które nie zostały wystarczająco szybko zaktualizowane poprawkami bezpieczeństwa”. zdalne wykorzystanie dowolnego kodu”.

Organizacje zostały wezwane do załatania luki w hiperwizorze, aby uniknąć padnięcia ofiarą tej operacji ransomware. Jednak CERT przypomniał czytelnikom we wspomnianym oświadczeniu, że „aktualizacja produktu lub oprogramowania to delikatna operacja, którą należy wykonywać z ostrożnością” oraz „zaleca się przeprowadzanie testów w jak największym stopniu”.

VMWare również wypowiedział się na temat sytuacji

Wraz z CERT i różnymi innymi podmiotami, VMWare opublikowało również post na temat tego globalnego ataku. W poradniku VMWare napisano, że luka w zabezpieczeniach serwera (znana jako CVE-2021-21974) może dać złośliwym aktorom możliwość „wywołania problemu przepełnienia sterty w usłudze OpenSLP, skutkującego zdalnym wykonaniem kodu”.

Firma VMWare zauważyła również, że w lutym 2021 r. wydała łatę usuwającą tę lukę, która może zostać wykorzystana do odcięcia wektora ataku złośliwych operatorów, a tym samym uniknięcia celu.

Ten atak nie wydaje się być prowadzony przez państwo

Chociaż tożsamość atakujących w tej kampanii nie jest jeszcze znana, włoska Narodowa Agencja ds. Cyberbezpieczeństwa (ACN) stwierdziła, że ​​obecnie nie ma dowodów sugerujących, że atak został przeprowadzony przez jakikolwiek podmiot państwowy (jak donosi Reuters ). Atak ten dotknął różne organizacje włoskie, a także organizacje we Francji, USA, Niemczech i Kanadzie.

Sugerowano, kto może być odpowiedzialny za tę kampanię, biorąc pod uwagę oprogramowanie z różnych rodzin oprogramowania ransomware, takich jak BlackCat, Agenda i Nokoyawa. Czas pokaże, czy uda się odkryć tożsamość operatorów.

Ataki ransomware nadal stanowią poważne ryzyko

Z biegiem lat coraz więcej organizacji pada ofiarą ataków ransomware. Ten rodzaj cyberprzestępczości stał się niezwykle popularny wśród złośliwych aktorów, a ten globalny hack VMWare pokazuje, jak rozległe mogą być konsekwencje.