VMware bugün müşterilerini en son güvenlik güncellemelerini yüklemeleri ve İnternet’e açık ve savunmasız ESXi sunucularına yönelik büyük ölçekli bir fidye yazılımı saldırısı kampanyasında hedeflenen OpenSLP hizmetini devre dışı bırakmaları konusunda uyardı.
Şirket, saldırganların sıfır gün açığından yararlanmadığını ve bu hizmetin 2021’den beri yayınlanan ESXi yazılım sürümlerinde varsayılan olarak devre dışı bırakıldığını sözlerine ekledi.
VMware’e göre, tehdit aktörleri “önemli ölçüde güncelliğini yitirmiş” veya zaten Genel Destek Sonu’na (EOGS) ulaşmış ürünleri de hedefliyor.
VMware, “VMware, bu son saldırılarda kullanılan fidye yazılımını yaymak için bilinmeyen bir güvenlik açığının (0-day) kullanıldığını gösteren kanıt bulamadı” dedi.
“Çoğu rapor, Genel Destek Sonu (EOGS) ve/veya önemli ölçüde güncelliğini yitirmiş ürünlerin, daha önce VMware Güvenlik Önerilerinde (VMSA) ele alınan ve ifşa edilen bilinen güvenlik açıklarıyla hedef alındığını belirtir.
“Bunu göz önünde bulundurarak, müşterilere şu anda bilinen güvenlik açıklarını gidermek için vSphere bileşenlerinin desteklenen en son sürümlerine yükseltme yapmalarını tavsiye ediyoruz. Ayrıca VMware, ESXi’de OpenSLP hizmetinin devre dışı bırakılmasını önerdi.”
ESXiArgs fidye yazılımı saldırıları
VMware’in uyarısı, bilinmeyen tehdit aktörlerinin, kimliği doğrulanmamış tehdit aktörlerinin düşük karmaşıklıktaki saldırılarda uzaktan kod yürütme elde etmek için yararlanabilecekleri bir OpenSLP güvenlik açığına (CVE-2021-21974) karşı yama uygulanmamış VMware ESXi sunucularını şifrelemeye başlamasının ardından geldi.
ESXiArgs fidye yazılımı olarak bilinen bu kötü amaçlı yazılım, halihazırda dünya çapında binlerce savunmasız hedefi (Censys’in güncel verilerine göre 2.400’den fazla sunucu) etkilemiş olan büyük bir devam eden saldırı dalgasının parçası olarak konuşlandırıldı.
Saldırganlar, güvenliği ihlal edilmiş ESXi sunucularında .vmxf, .vmx, .vmdk, .vmsd ve .nvra dosyalarını şifrelemek ve “ransom.html” ve “Dosyalarınızı Geri Yükleme.html” adlı fidye notlarını dağıtmak için kötü amaçlı yazılımı kullanır.
ID Ransomware’den Michael Gillespie, ESXiArgs şifreleyicinin bir kopyasını analiz etti ve BleepingComputer’a ne yazık ki şifre çözmeye izin verecek hiçbir kriptografi hatası olmayan güvenli bir şifreleyici olduğunu söyledi.
Güvenlik araştırmacısı Enes Sönmez, bu saldırılardan etkilenen VMware yöneticilerinin sanal makinelerini yeniden oluşturmasına ve verilerini ücretsiz olarak kurtarmasına olanak tanıyabilecek bir kılavuz paylaştı.
BleepingComputer ayrıca daha fazla ESXiArgs fidye yazılımı teknik ayrıntısına ve kurbanların bu saldırıyla ilgili deneyimlerini bildirdikleri ve dosyalarını kurtarma konusunda yardım alabilecekleri özel bir ESXiArgs destek konusuna sahiptir.