Ένα μη επιδιορθωμένο σφάλμα λογισμικού που υπάρχει στους διακομιστές ESXi της VMWare γίνεται αντικείμενο εκμετάλλευσης από χάκερ με στόχο τη διάδοση ransomware σε όλο τον κόσμο.
Οι μη επιδιορθωμένοι διακομιστές VMWare καταχρώνται από χάκερ
Μια ευπάθεια λογισμικού δύο ετών που υπάρχει στους διακομιστές ESXi της VMWare έχει γίνει στόχος μιας εκτεταμένης εκστρατείας hacking. Ο στόχος της επίθεσης είναι να αναπτύξει το ESXiArgs, μια νέα παραλλαγή ransomware. Εκατοντάδες οργανισμοί εκτιμάται ότι έχουν πληγεί.
Η ομάδα αντιμετώπισης έκτακτης ανάγκης υπολογιστών της Γαλλίας (CERT) δημοσίευσε μια δήλωση στις 3 Φεβρουαρίου, όπου συζητήθηκε η φύση των επιθέσεων. Στο Ανάρτηση CERT, γράφτηκε ότι οι καμπάνιες «μοιάζουν να έχουν εκμεταλλευτεί την έκθεση του ESXi υπερεπιβλέποντες που δεν έχουν ενημερωθεί με ενημερώσεις κώδικα ασφαλείας αρκετά γρήγορα." Η CERT σημείωσε επίσης ότι το σφάλμα που στοχεύεται "επιτρέπει σε έναν εισβολέα να εκτελέσει μια απομακρυσμένη αυθαίρετη εκμετάλλευση κώδικα."
Οι οργανισμοί έχουν παροτρυνθεί να επιδιορθώσουν την ευπάθεια του hypervisor για να αποφύγουν να πέσουν θύματα αυτής της λειτουργίας ransomware. Ωστόσο, η CERT υπενθύμισε στους αναγνώστες στην προαναφερθείσα δήλωση ότι «η ενημέρωση ενός προϊόντος ή λογισμικού είναι μια λεπτή λειτουργία που πρέπει να γίνεται με προσοχή» και ότι «συνιστάται να γίνονται δοκιμές όσο δυνατόν."
Η VMWare έχει επίσης μιλήσει για την κατάσταση
Μαζί με το CERT και διάφορες άλλες οντότητες, η VMWare δημοσίευσε επίσης μια ανάρτηση για αυτήν την παγκόσμια επίθεση. Σε ένα Συμβουλευτική VMWare, γράφτηκε ότι η ευπάθεια διακομιστή (γνωστή ως CVE-2021-21974) θα μπορούσε να δώσει κακόβουλους παράγοντες τη δυνατότητα να "πυροδοτήσει το πρόβλημα υπερχείλισης σωρού στην υπηρεσία OpenSLP με αποτέλεσμα τον απομακρυσμένο κώδικα εκτέλεση."
Η VMWare σημείωσε επίσης ότι εξέδωσε μια ενημερωμένη έκδοση κώδικα για αυτήν την ευπάθεια τον Φεβρουάριο του 2021, η οποία μπορεί να χρησιμοποιηθεί για να αποκόψει τον φορέα επίθεσης κακόβουλων χειριστών και επομένως να αποφύγει τη στόχευση.
Αυτή η επίθεση δεν φαίνεται να είναι κρατική
Αν και οι ταυτότητες των δραστών σε αυτήν την εκστρατεία δεν είναι ακόμη γνωστές, έχει ειπωθεί από την Εθνική Υπηρεσία Κυβερνοασφάλειας της Ιταλίας Ο Οργανισμός (ACN) ότι προς το παρόν δεν υπάρχουν στοιχεία που να υποδηλώνουν ότι η επίθεση πραγματοποιήθηκε από οποιαδήποτε κρατική οντότητα (όπως αναφέρεται από Reuters). Διάφορες ιταλικές οργανώσεις επηρεάστηκαν από αυτή την επίθεση, καθώς και οργανώσεις στη Γαλλία, τις ΗΠΑ, τη Γερμανία και τον Καναδά.
Έχουν γίνει προτάσεις για το ποιος θα μπορούσε να είναι υπεύθυνος για αυτήν την καμπάνια, με λογισμικό από διάφορα οικογένειες ransomware όπως το BlackCat, το Agenda και το Nokoyawa. Ο χρόνος θα δείξει εάν οι ταυτότητες των χειριστών μπορούν να αποκαλυφθούν.
Οι επιθέσεις Ransomware συνεχίζουν να αποτελούν σημαντικό κίνδυνο
Καθώς τα χρόνια περνούν, όλο και περισσότεροι οργανισμοί πέφτουν θύματα επιθέσεων ransomware. Αυτός ο τρόπος εγκλήματος στον κυβερνοχώρο έχει γίνει απίστευτα δημοφιλής μεταξύ των κακόβουλων παραγόντων, με αυτό το παγκόσμιο hack του VMWare να δείχνει πόσο εκτεταμένες μπορεί να είναι οι συνέπειες.
