VMware Pazartesi günü yaptığı açıklamada, tehdit aktörlerinin dünya çapında devam eden bir fidye yazılımı saldırı çılgınlığının bir parçası olarak yazılımında bilinmeyen bir güvenlik açığından, yani sıfır gün, yararlandığına dair hiçbir kanıt bulamadığını söyledi.
Sanallaştırma hizmetleri sağlayıcısı “Çoğu rapor, Genel Desteğin Sonu (EoGS) ve/veya önemli ölçüde güncelliğini yitirmiş ürünlerin, önceden ele alınan ve VMware Güvenlik Önerilerinde (VMSA) açıklanan bilinen güvenlik açıklarıyla hedef alındığını belirtiyor.” söz konusu.
Şirket ayrıca, bilinen sorunları azaltmak için kullanıcılara vSphere bileşenlerinin desteklenen en son sürümlerine yükseltme yapmalarını tavsiye ediyor. OpenSLP hizmetini devre dışı bırakın ESXi’de.
VMware, “2021’de ESXi 7.0 U2c ve ESXi 8.0 GA, hizmet varsayılan olarak devre dışı bırakılarak gönderilmeye başlandı.”
Duyuru, dünyanın dört bir yanındaki yamasız ve güvenli olmayan VMware ESXi sunucularının bir saldırıda hedef alınmasıyla gelir. büyük ölçekli fidye yazılımı kampanyası muhtemelen Şubat 2021’de yamalanan iki yıllık bir VMware hatasından yararlanarak ESXiArgs olarak adlandırıldı.
CVE-2021-21974 (CVSS puanı: 8.8) olarak izlenen güvenlik açığı, kimliği doğrulanmamış bir tehdit aktörünün uzaktan kod yürütme elde etmek için yararlanabileceği bir OpenSLP yığın tabanlı arabellek taşması güvenlik açığıdır.
İzinsiz girişler, kurbanlara talimat verilen OpenSLP bağlantı noktası 427’de internete maruz kalan hassas ESXi sunucularını belirliyor gibi görünüyor. 2.01 Bitcoin ödeyin (yazı yazarken yaklaşık 45.990 $) dosyaları kurtarmak için gereken şifreleme anahtarını almak için. Bugüne kadar hiçbir veri sızıntısı gözlemlenmedi.
GreyNoise verileri gösteriyor ki 19 benzersiz IP adresi 4 Şubat 2023’ten bu yana ESXi güvenlik açığından yararlanmaya çalışıyor. 19 IP adresinden 18’i zararsız olarak sınıflandırılıyor ve tek bir kötü amaçlı kullanım var. kaydedildi Hollanda’dan.
Rapid7 araştırmacısı Caitlin Condon, “ESXi müşterileri, verilerinin yedeklendiğinden emin olmalı ve düzenli bir yama döngüsünün gerçekleşmesini beklemeden acil durumlarda ESXi kurulumlarını sabit bir sürüme güncellemelidir.” söz konusu. “ESXi bulut sunucuları mümkünse internete açık bırakılmamalıdır.”
Güncelleme:
Salı günü ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) piyasaya sürülmüş ESXiArgs fidye yazılımının kurbanı olan kuruluşlar için bir kurtarma betiği. Ajans, “ESXiArgs fidye yazılımı, savunmasız ESXi sunucularındaki yapılandırma dosyalarını şifreleyerek potansiyel olarak sanal makineleri (VM’ler) kullanılamaz hale getiriyor” dedi.
CISA ayrıca piyasaya sürülmüş bir tavsiye, uyarı tehdit aktörler “sunuculara erişim elde etmek ve ESXiArgs fidye yazılımını dağıtmak için VMware ESXi yazılımındaki bilinen güvenlik açıklarından yararlanıyorlar.” Bugüne kadar dünya genelinde 3.800’den fazla sunucunun güvenliği ihlal edildi.
Harekatın arkasındaki düşmanların kimliği belirsiz ve görünüşe göre saldırılar birkaç avantajdan yararlanıyor. yüksek profilli OpenSLP güvenlik açıkları ilk erişimi elde etmek için ESXi’de.