Nepataisyta programinės įrangos klaida, esanti VMWare ESXi serveriuose, yra išnaudojama įsilaužėlių, siekdami platinti išpirkos reikalaujančią programinę įrangą visame pasaulyje.
Įsilaužėliai piktnaudžiauja nepataisytais VMWare serveriais
Dvejus metus senumo programinės įrangos pažeidžiamumas, esantis VMWare ESXi serveriuose, tapo plačiai paplitusios įsilaužimo kampanijos taikiniu. Atakos tikslas yra įdiegti ESXiArgs, naują išpirkos reikalaujančios programos variantą. Manoma, kad nukentėjo šimtai organizacijų.
Prancūzijos kompiuterinio reagavimo komanda (CERT) vasario 3 d. paskelbė pareiškimą, kuriame buvo aptartas atakų pobūdis. Viduje CERT įrašas, buvo parašyta, kad kampanijos „atrodo, kad pasinaudojo ESXi demonstravimu hipervizoriai kurios nebuvo pakankamai greitai atnaujintos saugos pataisomis." CERT taip pat pažymėjo, kad klaida, į kurią buvo nukreipta, „leidžia užpuolikui nuotoliniu būdu išnaudoti savavališką kodą".
Organizacijos buvo raginamos pataisyti hipervizoriaus pažeidžiamumą, kad netaptų šios išpirkos programinės įrangos operacijos aukomis. Tačiau CERT minėtame pareiškime priminė skaitytojams, kad „produkto ar programinės įrangos atnaujinimas yra subtilus operacija, kurią reikia atlikti atsargiai“, ir kad „rekomenduojama atlikti bandymus tiek, kiek įmanoma“.
VMWare taip pat kalbėjo apie situaciją
Kartu su CERT ir įvairiais kitais subjektais VMWare taip pat išleido įrašą apie šią pasaulinę ataką. A VMWare patarimas, buvo parašyta, kad serverio pažeidžiamumas (žinomas kaip CVE-2021-21974) gali sukelti kenkėjiškų veikėjų galimybė „suaktyvinti krūvos perpildymo problemą OpenSLP paslaugoje, dėl kurios atsiranda nuotolinis kodas egzekucija“.
„VMWare“ taip pat pažymėjo, kad 2021 m. vasario mėn. išleido pataisą šiam pažeidžiamumui, kurį galima naudoti norint nutraukti kenkėjiškų operatorių atakų vektorių ir taip išvengti taikinio.
Atrodo, kad ši ataka nėra vykdoma valstybės
Nors šios kampanijos užpuolikų tapatybės dar nėra žinomos, tai pranešė Italijos nacionalinis kibernetinio saugumo departamentas. Agentūra (ACN) teigia, kad šiuo metu nėra jokių įrodymų, kad ataką įvykdė koks nors valstybės subjektas (kaip pranešė Reuters). Nuo šio išpuolio nukentėjo įvairios Italijos organizacijos, taip pat organizacijos Prancūzijoje, JAV, Vokietijoje ir Kanadoje.
Buvo pateikti pasiūlymai, kas galėtų būti atsakingas už šią kampaniją, naudojant įvairią programinę įrangą ransomware šeimos pvz., BlackCat, Agenda ir Nokoyawa. Ar pavyks atskleisti operatorių tapatybę, parodys laikas.
Ransomware atakos ir toliau kelia didelį pavojų
Bėgant metams, vis daugiau organizacijų tampa ransomware atakų aukomis. Šis elektroninių nusikaltimų būdas tapo neįtikėtinai populiarus tarp piktybinių veikėjų, nes šis pasaulinis VMWare įsilaužimas parodo, kokios plačiai paplitusios gali būti pasekmės.