VMware Pazartesi günü yaptığı açıklamada, tehdit aktörlerinin dünya çapında devam eden bir fidye yazılımı saldırı çılgınlığının bir parçası olarak yazılımında bilinmeyen bir güvenlik açığından (sıfır gün) yararlandığına dair hiçbir kanıt bulamadığını söyledi.
Sanallaştırma hizmetleri sağlayıcısı, “Çoğu rapor, Genel Destek Sonu (EoGS) ve/veya önemli ölçüde güncelliğini yitirmiş ürünlerin, daha önce VMware Güvenlik Önerilerinde (VMSA) ele alınan ve açıklanan bilinen güvenlik açıklarıyla hedeflendiğini belirtiyor” dedi.
Şirket ayrıca, bilinen sorunları azaltmak ve ESXi’de OpenSLP hizmetini devre dışı bırakmak için kullanıcılara vSphere bileşenlerinin en son desteklenen sürümlerine yükseltme yapmalarını tavsiye ediyor.
VMware, “2021’de ESXi 7.0 U2c ve ESXi 8.0 GA, hizmet varsayılan olarak devre dışı bırakılarak gönderilmeye başlandı.”
Duyuru, dünyanın dört bir yanındaki yamasız ve güvenli olmayan VMware ESXi sunucularının, muhtemelen Şubat 2021’de yama uygulanan iki yıllık bir VMware hatasından yararlanarak ESXiArgs adlı büyük ölçekli bir fidye yazılımı kampanyasında hedef alınmasıyla geldi.
CVE-2021-21974 (CVSS puanı: 8.8) olarak izlenen güvenlik açığı, kimliği doğrulanmamış bir tehdit aktörünün uzaktan kod yürütme elde etmek için yararlanabileceği bir OpenSLP yığın tabanlı arabellek taşması güvenlik açığıdır.
İzinsiz girişler, OpenSLP bağlantı noktası 427’de internete maruz kalan hassas ESXi sunucularını belirliyor gibi görünüyor ve kurbanlara, dosyaları kurtarmak için gereken şifreleme anahtarını almak için 2.01 Bitcoin (yazı yazarken yaklaşık 45.990 ABD Doları) ödemeleri talimatı verildi. Bugüne kadar herhangi bir veri sızıntısı gözlemlenmedi.
GreyNoise’tan alınan veriler, 4 Şubat 2023’ten bu yana 19 benzersiz IP adresinin ESXi güvenlik açığından yararlanmaya çalıştığını gösteriyor. 19 IP adresinden 18’i zararsız olarak sınıflandırılıyor ve Hollanda’dan yalnızca bir kötü amaçlı kullanım kaydedildi.
Rapid7 araştırmacısı Caitlin Condon, “ESXi müşterileri, verilerinin yedeklendiğinden emin olmalı ve düzenli bir yama döngüsünün gerçekleşmesini beklemeden acil durumlarda ESXi kurulumlarını sabit bir sürüme güncellemelidir.” dedi. “ESXi bulut sunucuları mümkünse internete açık bırakılmamalıdır.”