VMware tabanlı sanallaştırma altyapısını, özellikle ESXi ve ilgili ürünleri kullanan kuruluşlar, bir dizi saldırıyla karşı karşıya. Daha fazla tehdit aktörü, çabalarını fidye yazılımı saldırılarını başlatmak için yaygın olarak kullanılan ürünler olan CrowdStrike Intelligence etrafında birleştiriyor. pazartesi dedi.
CrowdStrike araştırmacıları hypervisor jackpotting güncellemesinde, “Gittikçe daha fazla sayıda tehdit aktörü, güvenlik araçları eksikliğinin, ESXi arayüzlerinin yeterli ağ segmentasyonu eksikliğinin ve ESXi için vahşi güvenlik açıklarının hedef bakımından zengin bir ortam yarattığını fark ediyor” diye yazdı.
Bir CrowdStrike sözcüsü, e-posta yoluyla yaptığı açıklamada, bu faktörlerin, tehdit aktörlerinin “kuruluşları sanal makinelerini yeniden çalışır duruma getirmek için fidye veya gasp talebi ödemeyi düşünmeye zorlamak için hızlı bir şekilde engellemelerine, bozmalarına ve kaldıraç kazanmalarına” olanak tanıdığını söyledi.
VMware’in hipervizör altyapısı, kuruluş ve devlet genelinde bulunur. Yasal onay bekleyen VMware Broadcom’un 61 milyar dolarlık satın alma teklifi Gartner’a göre, şirketin 2022’de 500.000’den fazla müşterisi ve 6 milyar ABD doları geliriyle küresel sanallaştırma altyapı yazılımı pazarının %71’ine hakim.
CrowdStrike araştırmacıları raporda, VMware’in sanallaştırma ürün serisinin genellikle bir kuruluşun BT altyapısı ve yönetim sisteminin çok önemli bir bileşeni olduğunu belirtti.
ESXi, vCenter, ONE Access ve Horizon gibi VMware ürünleri, kuruluşlar tarafından Active Directory ve iş operasyon sistemleri gibi kritik uygulamaları çalıştıran yüzlerce sanal makineyi barındırmak için kullanılır.
CrowdStrike sözcüsü, “VMware ürünlerinin popülaritesi ve bulut altyapısının sürekli benimsenmesi göz önüne alındığında, bu sorun daha da kötüye gidiyor gibi görünüyor” dedi.
CrowdStrike’a göre hiper yönetici ikramiyesi baskın bir trend haline geldi çünkü sanal altyapı, tehdit aktörlerinin tek bir uzlaşmanın etkisini artırmasına ve bu bileşenlerdeki yetersiz tespit ve önleme mekanizmalarını alt üst etmesine olanak sağlıyor.
“Oyundaki daha büyük sorun, şu anda tehdide yardımcı olacak bir çözümün olmaması. Sözcü, “Tehdit aktörleri, ESXi ortamının savunmasız olduğunu ve şu anda çaresi olmadığını bildikleri için VMware’i hedef almaya devam ediyor” dedi.
CrowdStrike’daki tehdit istihbaratı araştırmacıları, bağlı kuruluşlara Windows ve Linux üzerinde çalışan ESXi sunucularını hedefleyen fidye yazılımı ikili dosyaları sağlayan MichaelKors adlı yeni bir fidye yazılımını bir hizmet platformu olarak belirledi.
CrowdStrike ayrıca, ESXi’yi hedeflemek için BlackCat olarak da bilinen ALPHV, LockBit ve Defray hizmet platformları olarak fidye yazılımı kullanan tehdit aktörlerini de takip etti.
Tehdit aktörleri aktif olarak istismar ediyor CrowdStrike’a göre ESXi’de bilinen birkaç güvenlik açığı. Saldırı vektörleri, kimlik bilgisi hırsızlığı ve sanal makine erişimini içerir.
Yama uygulanmamış VMware güvenlik açıkları kalıcı risk oluşturur
CrowdStrike, işletmeleri yama uygulanmamış VMware hipervizör altyapısında gizlenen riskler konusunda uyaran birçok tehdit istihbaratı firmasından biridir. Recorded Future, Şubat ayında bir takip ettiğini söyledi. VMware ESXi’yi hedef alan fidye yazılımı saldırılarında artış bir …-den önce ESXiArgs adlı fidye yazılımı çılgınlığı sınırlı binlerce sanal makine.
Recorded Future, 2020’de ESXi’ye yönelik yalnızca iki fidye yazılımı saldırısı tespit etti, ancak 2021’de 400’den fazla fidye yazılımı saldırısı ve 2022’de 1.118 saldırı gözlemledi.
Artan saldırı oranı, diğer aktif istismarlara kadar uzanır. siber yetkililerin ortak bir danışma belgesi yayınlamasını istedi Haziran 2022’de VMware Horizon ve Unified Access Gateway sunucularında yama uygulanmamış Log4Shell hakkında.
Bir VMware sözcüsü, e-posta yoluyla, “CrowdStrike raporunda belirtildiği gibi, fidye yazılımı operatörleri, yama uygulanmamış yazılımlardaki bilinen güvenlik açıklarından ve diğer güvenlik hijyeni boşluklarından yararlanarak ilk erişimi elde ediyor” dedi. “Müşteriler, uç nokta tespiti ve yanıtı ile antivirüs çözümlerinin, bilinen güvenlik açıklarına yama uygulamak gibi temel güvenlik uygulamalarının yerine geçmediğini anlamalıdır.”
VMware, fidye yazılımı operatörlerinin en az iki ila üç yıl önce güvenlik tavsiyelerinde ele alınan ve ifşa edilen yama uygulanmamış güvenlik açıklarına sahip ürünleri hedeflediklerini gösteren önceki raporlara atıfta bulundu.