Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
2021’de Düzeltilen Güvenlik Açığı, 300’den Fazla Kuruluşta Yöneticileri Hâlâ Bekliyor
Prajeet Nair (@prajeetspeaks) •
4 Şubat 2023
Fransız hükümetinin Fransa Ulusal Siber Güvenlik Ajansı’nın bir parçası olan bilgisayar acil duruma hazırlık ekibi olan CERT-FR, devasa bir otomatikleştirilmiş fidye yazılımı kampanyasının dünyanın dört bir yanındaki VMware ESXi hipervizörlerini hedef aldığı konusunda uyarıyor.
Ayrıca bakınız: Ödemek mi Ödememek mi? Fidye Yazılımlarına Hazırlık için Kanıtlanmış Adımlar
CVE-2021-21974 olarak izlenen VMware ESXi’deki bir yığın taşması güvenlik açığından yararlanan saldırı, Şubat 2021’de yamalandı. Güvenlik açığı, Hizmet Konumu Protokolü hizmetini etkiler ve bir saldırganın rastgele koddan uzaktan yararlanmasına olanak tanır.
VMware’in ESXi’si bir hipervizördür, yani sanal makineleri çalıştırmak için tasarlanmıştır. VMware, kusur için ilk olarak Şubat 2021’de Moskova merkezli güvenlik firması Positive Technologies’den Mikhail Klyuchnikov tarafından keşfedildiğini ve rapor edildiğini söyleyerek bir uyarı ve yama yayınladı.
VMware, güvenlik açığını “kritik” olarak tanımladı; bu, saldırganlar tarafından savunmasız bir sistemde istedikleri herhangi bir kodu uzaktan çalıştırmak ve sistemin tam kontrolünü ele geçirmek için kullanılabileceği anlamına geliyor.
CERT’ye göre “3 Şubat 2023’te CERT-FR, fidye yazılımı dağıtmak amacıyla VMware ESXi hipervizörlerini hedef alan saldırı kampanyalarından haberdar oldu. Şu anda hedeflenen sistemler, sürüm 6.x ve 6.7’den önceki ESXi hipervizörleri olacaktır.” -FR.
Bir VMware sözcüsü, Information Security Media Group’a, ESXiArgs adlı bir fidye yazılımı varyantının, yamaların VMware’de kullanıma sunulduğu iki yıllık bir güvenlik açığı olan CVE-2021-21974’ten yararlandığını söyledi.
Sözcü, “Güvenlik hijyeni, fidye yazılımı saldırılarını önlemenin önemli bir bileşenidir ve CVE-2021-21974’ten etkilenen ESXi sürümlerini çalıştıran ve henüz yamayı uygulamamış olan müşteriler, danışma belgesinde belirtildiği şekilde harekete geçmelidir” dedi.
CERT-FR, güncellenmemiş ESXi hipervizörlerinde SLP hizmetinin devre dışı bırakılmasını öneren VMware tarafından önerilen geçici çözümün uygulanmasını önerir.
Ajans ayrıca, saldırgan güvenlik açığından zaten yararlanmış ve kötü amaçlı kod bırakmış olabileceğinden, yalnızca yama uygulamanın yeterli olmadığı konusunda da uyarıda bulunuyor. VMware, herhangi bir tehlike belirtisini algılamak için bir sistem taraması yapılmasını önerir.
Fransız bulut bilişim ve barındırma devi OVH de Cuma günü bir danışma belgesi yayınladı ve kullanıcılarını ESXi sunucularını hedef alan mevcut saldırı dalgası konusunda uyardı.
“Hiçbir OVHcloud tarafından yönetilen hizmet bu saldırıdan etkilenmez; ancak, birçok müşteri bu işletim sistemini kendi sunucularında kullandığından, bu gönderiyi düzeltmelerinde onlara yardımcı olmak için bir referans olarak sunuyoruz” diyor şef Julien Levrard. OVH’de bilgi güvenliği görevlisi.
Levrard, saldırıların Avrupa odaklı olarak küresel olarak tespit edildiğini söylüyor ve saldırganların muhtemelen Nevada fidye yazılımı türünün arkasındaki operatörler olduğunu varsayıyor.
Bir fidye yazılımı izleme hizmet sağlayıcı platformu olan Darkfeed’e göre Cumartesi günü bir Shodan araması, yayılımın geniş olduğunu ve toplamda en az 327 kuruluşun etkilendiğini gösterdi.
Darkfeed, “OVH bulut ve Hetzner barındırma konusunda en çok hedeflenen sistem Fransa’dan geliyor. Ancak dünya çapındaki diğer barındırma ve bulut şirketlerini vurdular.” twitter.
Singapur’un Bilgisayar Acil Durum Müdahale Ekibi SingCERT de Cumartesi günü bir danışma belgesi yayınladı ve kullanıcıları devam eden fidye yazılımı kampanyası hakkında uyardı.
“Etkilenen ürün sürümlerinin kullanıcılarına ve yöneticilerine derhal en son sürümlere yükseltmeleri tavsiye edilir. Bir önlem olarak, herhangi bir tehlike belirtisini tespit etmek için tam bir sistem taraması da yapılmalıdır. Kullanıcılara ve yöneticilere ayrıca fidye yazılımı kampanyasının… hedeflenen bağlantı noktası 427, işlemleri kesintiye uğratmadan devre dışı bırakılabilir” diyor SingCERT danışma belgesi.
Bu gelişmekte olan bir hikaye ve daha da güncellenecektir.