Geçen haftanın sonlarında, kimliği belirsiz saldırganlar, önceden kimlik doğrulaması olmadan açıktan yararlanma kodunu uzaktan çalıştırmalarına olanak tanıyan, kolayca kötüye kullanılabilen bir güvenlik açığı olan CVE-2021-21974 aracılığıyla VMware ESXi hipervizörlerini vuran yaygın bir fidye yazılımı saldırısı başlattı.
ESXi’nin OpenSLP hizmetindeki bir güvenlik açığı olan CVE-2021-21974 için yamalar VMware tarafından iki yıl önce sağlandı ve bu saldırı, SLP hizmetinin hala çalışır durumda olduğu ve OpenSLP bağlantı noktasının bulunduğu kaç sunucunun hâlâ yama uygulanmadığını ortaya çıkardı. (427) hala açıkta.
Saldırı devam ediyor
Fransız CERT (CERT-FR) ve Fransız bulut bilgi işlem şirketi OVH, saldırganların CVE-2021-21974’ten yararlandığını öne sürerek ve yama uygulanmamış ve hala etkilenmemiş sunucu sahiplerini hızlı bir şekilde yama veya devre dışı bırakmaya çağırarak Cuma akşamı alarmı ilk çalanlar oldu. SLP hizmeti.
Pazar günü, İtalya Ulusal Siber Güvenlik Ajansı’nın (ACN) bilgisayar güvenliği olay müdahale ekibi uyarıyı yineledi.
Saldırganların savunmasız sunucuları şifrelemek için kullandıkları fidye yazılımı hakkında bazı ilk spekülasyonlardan sonra, hedeflenen sistemler ve şifrelenmiş sanal makine dosyalarına eklenen uzantı (.args) nedeniyle ESXiArgs olarak adlandırılan yeni bir fidye yazılımı ailesi olduğu doğrulandı ( .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram ve .benim .. De uzantılar). Ve ne yazık ki, şifrelemesinde istismar edilebilecek hiçbir hata yok.
ESXi, genellikle bir bulut hizmeti sağlayıcısından kiralanan çıplak donanım ana bilgisayarlarına kurulur. OVHcloud CISO’su Julien Levrard, güvenliği ihlal edilmiş ana bilgisayarları belirlediklerini ve etkilenen müşterileri bilgilendirdiklerini söylüyor, ancak kaç ana bilgisayarın saldırıya uğradığını söylemedi.
İtalyan haber ajansı ANSA, “saldırıların İtalya’da hem kamu hem de özel sektördeki düzinelerce BT sistemini tehlikeye attığını” söyledi. Censys’e göre, çoğu Fransa’da olmak üzere ABD, Almanya, Kanada, Birleşik Krallık, Hollanda ve dünyadaki diğer ülkelerde de güvenliği ihlal edilmiş 3.200’den fazla sunucu var.
Ne yapalım?
ESXi sunucuları saldırıya uğramamış yöneticiler muhtemelen VMware tarafından sunulan yamayı uygulamış, SLP hizmetini devre dışı bırakmış ve/veya sunucuları internetten erişilemez hale getirmişlerdir. Değilse, sadece şanslı olabilirler – ancak şansları muhtemelen yakında tükenecektir, bu yüzden bu eylemleri gerçekleştirmeleri gerekir.
VMware ESXi sanal makinelerini hedef alabilen birçok fidye yazılımı ailesi ve diğer kötü amaçlı yazılımlar var ve CVE-2021-21974 için bir PoC istismarının halka açık olması nedeniyle, onları kullanan tehdit aktörlerinin aynı numarayı denemesini bekleyebiliriz.
Levrard, fidye yazılımının dağıtılan bir genel anahtarı kullandığını söylüyor. /tmp/public.pem, dosyaların kilidini açmak için VMX işlemini sonlandırarak sanal makineleri kapatmaya çalıştığı, saldırganların dosyaları şifrelemeden önce verileri dışarı sızdırmadığı ve bazı durumlarda şifrelemenin yalnızca kısmi olduğu ve verilerin kurtarılabileceği. Kullanıcıları, güvenlik araştırmacısı Enes Sönmez tarafından açıklanan bir VMDK dosya kurtarma prosedürüne yönlendirdi.
“Bu prosedürü ve birçok güvenlik uzmanını, etkilenen birkaç sunucuda başarıyla test ettik. Başarı oranı yaklaşık 2/3’tür. Bu prosedürü takip etmenin ESXi ortamlarında güçlü beceriler gerektirdiğini unutmayın. Bunu kendi sorumluluğunuzda kullanın ve yardımcı olması için uzmanların yardımını isteyin” diye ekledi.