VMWare ESXi hipervizörlerinin eski sürümlerini kullanan kuruluşlar, VMware’in “Genel Desteğin Sonu (EOGS)” olarak nitelendirdiği ve/veya önemli ölçüde kullanım dışı kaldığına yönelik küresel bir fidye yazılımı saldırısı olarak, güvenlik açığı düzeltme eki ile güncel kalma konusunda zor bir ders alıyorlar. tarih ürünleri” devam ediyor.
Ancak araştırmacılar, saldırının sanal ortamları kilitlemede daha geniş sorunlara da işaret ettiğini söylüyor.
VMware, 6 Şubat’ta yaptığı açıklamada, Fransız Bilgisayar Acil Durum Müdahale Ekibi (CERT-FR) tarafından ilk olarak 3 Şubat’ta işaretlenen bir fidye yazılımı saldırısının bilinmeyen veya “sıfır gün” kusurundan yararlanmadığını, bunun yerine önceden tanımlanmış güvenlik açıklarından yararlandığını doğruladı. satıcı tarafından yamalanmıştır.
Aslında, “ESXiArgs” olarak adlandırılan yeni bir fidye yazılımı türü yayan bir saldırıda uzlaşmanın ana yolunun, 2 yıllık bir uzaktan kod yürütme (RCE) güvenlik açığı (CVE-2021-21974) için bir istismar olduğuna zaten inanılıyordu. bu da hipervizörün Açık Hizmet Konum Protokolü (OpenSLP) hizmetini etkiler.
VMware yaptığı açıklamada, “Bunu göz önünde bulundurarak, müşterilere şu anda bilinen güvenlik açıklarını gidermek için vSphere bileşenlerinin en son desteklenen sürümlerine yükseltme yapmalarını tavsiye ediyoruz.”
Şirket ayrıca müşterilerin ESXi’de OpenSLP hizmetini devre dışı bırakmalarını tavsiye etti; bu, VMware’in sorunu azaltmak için 2021’den başlayarak ESXi 7.0 U2c ve ESXi 8.0 GA ile projenin sevk edilen sürümlerinde varsayılan olarak yapmaya başladığı bir şeydi.
Yamasız Sistemler Yine Hedefte
VMware’in onayı, şu ana kadar Kanada, Fransa, Finlandiya, Almanya, Tayvan ve ABD’deki binlerce sunucunun güvenliğini ihlal eden henüz bilinmeyen failler tarafından yapılan saldırının, tüm kuruluşların açıkça daha iyi yapması gereken bir şeyle önlenmiş olabileceği anlamına geliyor: güvenlik açığı olan yama BT varlıkları — güvenlik uzmanları söyledi.
Fidye yazılımı koruma şirketi BullWall’ın CTO’su Jan Lovmand, “Bu, birçok kuruluşun dahili sistemlere ve uygulamalara yama uygulamalarının ne kadar sürdüğünü gösteriyor; bu, suçluların yolunu bulmaya devam etmesinin birçok nedeninden yalnızca biri” diyor.
Güvenlik açığı yönetimi firması Tenable’ın EMEA teknik direktörü ve güvenlik stratejisti Bernard Montel, açıklardan yararlanan bilinen güvenlik açıklarının genellikle yama yapılmadan bırakılmasının “acı bir gerçek” olduğunu söylüyor..
Dark Reading’e “Bu, kuruluşları başarılı bir şekilde nüfuz etme konusunda inanılmaz bir tehlikeye atıyor” diyor. “Bu durumda, … VMWare güvenlik açığı ile, aktif istismar göz önüne alındığında tehdit çok büyük.”
Ancak Montel, savunmasız sistemleri yamasız bırakma riskleri göz önüne alındığında bile, kuruluşların sistemleri güncelleme ihtiyacı ile bunu yapmak için gereken kesinti süresinin bir işletme üzerinde yaratabileceği etkiyi dengelemesinin karmaşık bir sorun olmaya devam ettiğini kabul ediyor.
“Birçok kuruluş için sorun, yama yapmak için çevrimdışı bir şeye geçmek yerine çalışma süresini değerlendirmektir” diyor. “Bu durumda, hesaplama gerçekten daha basit olamazdı – birkaç dakikalık rahatsızlık veya günlerce kesinti.”
Sanallaştırma Doğası gereği Bir Risktir
Diğer güvenlik uzmanları, devam eden ESXi saldırısının bir yama sorunu kadar basit olduğuna inanmıyor. Yama uygulama eksikliği bu durumda bazı kuruluşlar için sorunu çözebilse de, genel olarak sanallaştırılmış ortamları korumak söz konusu olduğunda bunun o kadar basit olmadığını belirtiyorlar.
Siber güvenlik eğitim firması Cybrary’de tehdit istihbaratı kıdemli direktörü David Maynor, işin aslı şu ki, bir platform olarak VMware ve özellikle ESXi, güvenlik açısından yönetilmesi gereken karmaşık ürünler ve bu nedenle siber suçlular için kolay hedefler. Aslında, çok sayıda fidye yazılımı kampanyası yalnızca geçen yıl ESXi’yi hedef alarak, bilgili saldırganların başarı potansiyellerini fark ettiklerini gösterdi.
Saldırganlar, bir ESXi ortamının sanallaştırılmış doğasıyla, birden fazla sanal makineyi (VM) kontrol edebilen/erişebilen bir ESXi hipervizörüne girerlerse, “bu, aynı zamanda olabilecek birçok başka sistemi barındırıyor olabilir” şeklinde ek bir bonus elde ederler. Herhangi bir ek çalışma yapılmadan taviz verildi,” diyor Maynor.
Montel, gerçekten de her bulut tabanlı ortamın kalbinde yer alan bu sanallaştırmanın tehdit aktörlerinin işini birçok yönden kolaylaştırdığını belirtiyor. Bunun nedeni, tüm ağa erişim elde etmek için belirli bir hipervizörün bir örneğindeki yalnızca bir güvenlik açığını hedeflemeleri gerektiğidir.
“Tehdit aktörleri, bu seviyeyi tek okla hedeflemenin ayrıcalıklarını yükseltmelerine ve her şeye erişim sağlamalarına olanak tanıyabileceğini biliyor” diyor. “Erişim elde edebilirlerse, kötü amaçlı yazılımları hipervizör seviyesine sızmaya zorlayabilir ve kitlesel bulaşmaya neden olabilirler.”
Yama Yapamadığınızda VMware Sistemlerini Nasıl Korursunuz?
En son fidye yazılımı saldırısı devam ederken – operatörleri dosyaları şifreliyor ve yaklaşık 2 Bitcoin (veya basın zamanında 23.000 ABD doları) uzlaşmanın ardından üç gün içinde teslim edilmesini istiyor veya hassas verilerin serbest bırakılması riskini alıyor – kuruluşlar altta yatan sorunun nasıl çözüleceğiyle boğuşuyor bu çok yaygın bir saldırı yaratır.
Stairwell’de bir tehdit araştırmacısı olan Dan Mayer, herhangi bir savunmasız sisteme anında yama uygulamak veya güncellemek tamamen gerçekçi olmayabilir, başka yaklaşımların uygulanması gerekebileceğini belirtiyor. “Gerçek şu ki, kuruluşlar tarafından alınan hesaplanmış bir risk nedeniyle veya kaynak ve zaman kısıtlamaları nedeniyle her zaman yama uygulanmamış sistemler olacaktır” diyor.
Kendi başına yamalı bir sisteme sahip olma riski, kurumsal altyapıyı kötü amaçlı faaliyetlere karşı sürekli olarak izlemek ve bir sorun ortaya çıkarsa hızlı bir şekilde yanıt vermeye ve saldırı alanlarını bölümlere ayırmaya hazırlıklı olmak gibi diğer güvenlik önlemleriyle azaltılabilir.
Kurucu ortak Barmak Meftah, gerçekten de kuruluşların fidye yazılımlarını önlemenin “neredeyse imkansız” olduğu varsayımıyla hareket etmesi ve “etkiyi azaltmak için felaket kurtarma planları ve içerik değiştirmeli veriler gibi” araçları devreye sokmaya odaklanması gerektiğini belirtiyor. siber güvenlik risk sermayesi şirketi Ballistic Ventures’ta.
Bununla birlikte, devam eden VMware ESXi fidye yazılımı saldırısı, birçok kuruluşun gerekli önleyici tedbirleri alma konusundaki doğal yetersizliğine katkıda bulunan başka bir sorunu vurgulamaktadır: Mayer, BT güvenliği alanında dünya çapında beceri ve gelir boşlukları olduğunu söylüyor.
Dark Reading’e “Zengin şirketlerin hedef olduğu ülkelerde yeterince yetenekli BT uzmanımız yok” diyor. “Aynı zamanda, dünyanın dört bir yanında meşru siber güvenlik işlerini üstlenmelerine kıyasla becerilerini başkalarından zorla para almak için kullanarak daha iyi bir yaşam sürdürebilen tehdit aktörleri var.”
Mayer, kar amacı gütmeyen uluslararası siber güvenlik kuruluşunun bir raporundan alıntı yapıyor (ICS2) varlıkları etkili bir şekilde güvence altına almak için siber güvenlik işgücünün 3,4 milyon siber güvenlik çalışanına ihtiyacı olduğu söyleniyor. Mayer, bu gerçekleşene kadar, “Bu işçilerin eğitimini hızlandırmamız gerekiyor ve boşluk hala varken, dünyanın dört bir yanındaki becerilere sahip olanlara, sorunun bir parçası olmaya dönmemeleri için değerlerini ödemeliyiz” diyor. .