VMware ESXi hipervizörleri, güvenliği ihlal edilmiş sistemlere fidye yazılımı dağıtmak için tasarlanmış yeni bir saldırı dalgasının hedefidir.
Fransa Bilgisayar Acil Durum Müdahale Ekibi (CERT) Cuma günü yaptığı açıklamada, “Bu saldırı kampanyaları, 23 Şubat 2021’den beri bir yaması bulunan CVE-2021-21974’ten yararlanıyor gibi görünüyor.” dedi.
VMware, o sırada yayınlanan kendi uyarısında, sorunu rastgele kod yürütülmesine yol açabilecek bir OpenSLP yığın taşması güvenlik açığı olarak tanımladı.
Sanallaştırma hizmetleri sağlayıcısı, “ESXi ile aynı ağ segmentinde bulunan ve 427 numaralı bağlantı noktasına erişimi olan kötü niyetli bir aktör, OpenSLP hizmetinde yığın taşması sorununu tetikleyerek uzaktan kod yürütülmesine neden olabilir” dedi.
Fransız bulut hizmetleri sağlayıcısı OVHcloud, saldırıların küresel olarak tespit edildiğini ve özellikle Avrupa’ya odaklanıldığını söyledi. Saldırıların, Aralık 2022’de ortaya çıkan Nevada adlı yeni bir Rust tabanlı fidye yazılımı türüyle ilgili olduğundan şüpheleniliyor.
Son aylarda Rust’u benimsediği bilinen diğer fidye yazılımı aileleri arasında BlackCat, Hive, Luna, Nokoyawa, RansomExx ve Agenda yer alıyor.
“Aktörler, hem Rusça hem de İngilizce konuşan bağlı kuruluşları, çok sayıda İlk Erişim Aracısı (IAB) ile işbirliği yapmaya davet ediyor. [the] karanlık ağ, “Resecurity geçen ay söyledi.
“Özellikle, Nevada Ransomware’in arkasındaki grup da kendileri tarafından ele geçirilmiş erişimi satın alıyor, grubun istismar sonrası için ve ilgili hedeflere ağ izinsiz girişleri gerçekleştirmek için özel bir ekibi var.”
Ancak Bleeping Computer, saldırılarda görülen fidye notlarının Nevada fidye yazılımıyla hiçbir benzerlik taşımadığını bildirerek, türün ESXiArgs adı altında izlendiğini de sözlerine ekledi.
Kullanıcıların potansiyel tehditleri azaltmak ve OpenSLP hizmetine erişimi güvenilir IP adresleriyle kısıtlamak için ESXi’nin en son sürümüne yükseltmeleri önerilir.