Hafta sonu boyunca birkaç CERT, yama uygulanmamış VMware ESXi sanal makinelerine yönelik devam eden fidye yazılımı saldırıları hakkında uyarıda bulundu.
Cuma günü ve hafta sonu, birkaç Bilgisayar Acil Müdahale Ekibi (CERT’ler), VMware ESXi sanal makinelerine yönelik devam eden büyük ölçekli bir fidye yazılımı saldırısı hakkında alarm verdi.
Çeşitli araştırmacılardan gelen Shodan sorguları arasında bazı tutarsızlıklar olmakla birlikte, çoğu, hafta sonu saldırıdan tahmini 500 varlığın etkilendiği konusunda hemfikir.
Eski güvenlik açığı
CVE-2021-21974 olarak listelenen şüpheli güvenlik açığı, yaklaşık iki yıl önce VMware tarafından yamalanmıştı. Güvenlik açığı, ESXi’de kullanıldığı şekliyle OpenSLP’de bulunabilir (ESXi70U1c-17325551’den önce 7.0, ESXi670-202102401-SG’den önce 6.7, ESXi650-202102101-SG’den önce 6.5) ve bir yığın taşması güvenlik açığıdır. ESXi ile aynı ağ segmentinde bulunan ve 427 numaralı bağlantı noktasına erişimi olan kötü niyetli bir aktör, OpenSLP hizmetinde yığın taşması sorununu tetikleyerek uzaktan kod yürütülmesine neden olabilir.
Arabellek taşması, bir yazılım uygulamasındaki bir bellek alanı adres sınırına ulaştığında ve bitişik bir bellek bölgesine yazdığında ortaya çıkan bir tür yazılım güvenlik açığıdır. Yazılım istismar kodunda, taşmalar için hedeflenen iki ortak alan yığın ve yığındır. Yığın bellek, yalnızca bir yürütme iş parçacığı tarafından kullanılan yığın belleğin aksine, bir uygulamanın tüm parçaları tarafından kullanılır.
Azaltma
CVE-2021-21974 için savunmasız olan ürünler, VMware ESXi ve VMware Cloud Foundation’dır (Cloud Foundation). CVE-2021-21974’ü düzeltmek için “Yanıt Matrisi”nin “Sabit Sürüm” sütununda 3b altında listelenen güncellemeleri uygulayın. etkilenen dağıtımlara.
Sabit sürümler şunlardır:
- ESXi 7.0 için: ESXi70U1c-17325551 veya üstü
- ESXi 6.7 için: ESXi670-202102401-SG veya üstü
- ESXi 6.5 için: ESXi650-202102101-SG veya üstü
- Cloud Foundation (ESXi) 4.x için: 4.2 veya sonrası
- Cloud Foundation (ESXi) 3.x için: lütfen VMware KB82705’e bakın
ESXi’de OpenSLP hizmetini kullanmıyorsanız önerilen geçici çözüm, VMware ESXi’de SLP hizmetini devre dışı bırakmaktır.
Fidye yazılımı
Kavram Kanıtı (PoC) talimatları, güvenlik açığı kapatıldıktan yalnızca birkaç ay sonra yayınlanmış olsa da, 3 Şubat 2023’ten önce açık havada kullanıldığına dair herhangi bir rapor görmedik. Saldırı, savunmasız ESXi’yi hedef aldı. 427 numaralı bağlantı noktasında internete açık olan sunucular. , “.vswp”, “.vmss”, “.nvram”,”*.vmem”). Bazı araştırmacılar, yalnızca yapılandırma dosyalarının şifrelendiği örnekler bulsa da. Bunun hakkında daha sonra.
Savunmasız ESXi’ye karşı ESXiArgs adlı bu büyük ölçekli saldırıyı başlattığı bildirilen fidye yazılımı grubunun, yeni Nevada fidye yazılımı grubu olduğuna inanılıyor.
Son zamanlarda, Royal ransomware grubunun cephaneliğine Linux makinelerini hedefleme yeteneğini eklediği öğrenildi. Kuruluşların Sanal Makinelere (VM’ler) geçiş yapmasıyla birlikte, Linux tabanlı bir fidye yazılımı sürümü, kuruluşların çok popüler ESXi sanal makinelerini hedeflemelerine olanak tanır.
şifresi çözülebilir
güvenlik araştırmacısı Matthieu Garin Saldırganların verilerin depolandığı vmdk disklerini değil, yalnızca yapılandırma dosyalarını şifrelediği sosyal medyada yayınlandı. Bu gibi durumlarda Enes.dev web sitesi size yardımcı olabilir. Kılavuz, yöneticilerin sanal makinelerini nasıl yeniden oluşturabileceklerini ve verilerini ücretsiz olarak nasıl kurtarabileceklerini açıklar.
BleepingComputer’ın araştırmasına göre, şifreleme rutininin kendisi güvenlidir, yani ücretsiz şifre çözmeye izin veren hiçbir kriptografi hatası yoktur.
Feragatnameler
Nevada, iyi bilinen bir fidye yazılımı grubunun Linux varyantı olabilir.
Tüm ipuçları CVE-2021-21974’ü işaret etse de VMware ESXi’de CVE-2022-31696, CVE-2022-31697, CVE-2022-31698 ve CVE-2022-31699 gibi potansiyel olarak uzaktan kumandaya yol açabilecek birkaç kritik güvenlik açığı vardır. etkilenen sistemlerde kod yürütme (RCE).
Yalnızca yapılandırma dosyalarının şifrelendiği durumlarda işte özel durumlar olabilir. Örneğin, fidye yazılımı, dosyayı şifreleyebilmek için sanal makineyi durdurmaya çalışır, ancak bu her zaman başarılı olmayabilir, bu durumda hasar yapılandırma dosyalarıyla sınırlıdır.
Daha fazla ayrıntı mevcut olduğunda, sizi burada güncel tutacağız.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.