VMware ESXi hipervizörleri, güvenliği ihlal edilmiş sistemlere fidye yazılımı dağıtmak için tasarlanmış yeni bir saldırı dalgasının hedefidir.
Fransa Bilgisayar Acil Müdahale Ekibi (CERT), “Bu saldırı kampanyaları, 23 Şubat 2021’den beri bir yaması bulunan CVE-2021-21974’ten yararlanıyor gibi görünüyor.” söz konusu Cuma günü bir danışmada.
VMware, o sırada yayınlanan kendi uyarısında sorunu şu şekilde tanımladı: Açık SLP rastgele kod yürütülmesine yol açabilecek yığın taşması güvenlik açığı.
Sanallaştırma hizmetleri sağlayıcısı “ESXi ile aynı ağ segmentinde bulunan ve 427 numaralı bağlantı noktasına erişimi olan kötü niyetli bir aktör, OpenSLP hizmetinde yığın taşması sorununu tetikleyerek uzaktan kod yürütülmesine neden olabilir” dedi. kayıt edilmiş.
Fransız bulut hizmetleri sağlayıcısı OVHcloud söz konusu saldırılar, özellikle Avrupa odaklı olmak üzere küresel olarak tespit ediliyor. Saldırıların, Aralık 2022’de ortaya çıkan Nevada adlı yeni bir Rust tabanlı fidye yazılımı türüyle ilgili olduğundan şüpheleniliyor.
Son aylarda Rust’u benimsediği bilinen diğer fidye yazılımı aileleri arasında BlackCat, Hive, Luna, Nokoyawa, RansomExx ve Agenda yer alıyor.
“Aktörler, hem Rusça hem de İngilizce konuşan bağlı kuruluşları, çok sayıda İlk Erişim Aracısı (IAB) ile işbirliği yapmaya davet ediyor. [the] karanlık ağ, “Güvenlik söz konusu geçen ay.
“Özellikle, Nevada Ransomware’in arkasındaki grup da kendileri tarafından ele geçirilmiş erişimi satın alıyor, grubun istismar sonrası için ve ilgili hedeflere ağ izinsiz girişleri gerçekleştirmek için özel bir ekibi var.”
Ancak Bleeping Computer, fidye notları Saldırılarda görülenlerin Nevada fidye yazılımıyla hiçbir benzerlik taşımadığını ve türün ESXiArgs adı altında izlendiğini de sözlerine ekledi.
Kullanıcıların potansiyel tehditleri azaltmak ve OpenSLP hizmetine erişimi güvenilir IP adresleriyle kısıtlamak için ESXi’nin en son sürümüne yükseltmeleri önerilir.