Ngày 04 tháng 2 năm 2023Ravie Lakshmanan Bảo mật doanh nghiệp / Ransomware
Các trình ảo hóa VMware ESXi là mục tiêu của một làn sóng tấn công mới được thiết kế để triển khai phần mềm tống tiền trên các hệ thống bị xâm nhập.
“Các chiến dịch tấn công này dường như khai thác CVE-2021-21974, đã có bản vá từ ngày 23 tháng 2 năm 2021,” Nhóm Ứng phó Khẩn cấp Máy tính (CERT) của Pháp cho biết trong một khuyến cáo hôm thứ Sáu.
VMware, trong cảnh báo riêng được phát hành vào thời điểm đó, đã mô tả sự cố này là lỗ hổng tràn bộ nhớ heap OpenSLP có thể dẫn đến việc thực thi mã tùy ý.
Nhà cung cấp dịch vụ ảo hóa lưu ý: “Một tác nhân độc hại nằm trong cùng một phân đoạn mạng với ESXi có quyền truy cập vào cổng 427 có thể kích hoạt sự cố tràn bộ nhớ trong dịch vụ OpenSLP dẫn đến thực thi mã từ xa”.
Nhà cung cấp dịch vụ đám mây của Pháp OVHcloud cho biết các cuộc tấn công đang được phát hiện trên toàn cầu với trọng tâm cụ thể là châu Âu. Người ta nghi ngờ rằng các cuộc tấn công có liên quan đến một chủng ransomware mới dựa trên Rust có tên là Nevada xuất hiện vào tháng 12 năm 2022.
Các dòng ransomware khác được biết là đã sử dụng Rust trong những tháng gần đây bao gồm BlackCat, Hive, Luna, Nokoyawa, RansomExx và Agenda.
“Các diễn viên đang mời cả các chi nhánh nói tiếng Nga và tiếng Anh cộng tác với một số lượng lớn Nhà môi giới tiếp cận ban đầu (IAB) trong [the] web đen,” Resecurity cho biết vào tháng trước.
“Đáng chú ý, nhóm đứng sau Nevada Ransomware cũng đang tự mua quyền truy cập bị xâm phạm, nhóm này có một nhóm chuyên trách hậu khai thác và tiến hành xâm nhập mạng vào các mục tiêu quan tâm.”
Tuy nhiên, Bleeping Computer báo cáo rằng các ghi chú đòi tiền chuộc được thấy trong các cuộc tấn công không có điểm tương đồng với phần mềm tống tiền Nevada, thêm vào đó, chủng này đang được theo dõi dưới tên ESXiArgs.
Người dùng được khuyến nghị nâng cấp lên phiên bản ESXi mới nhất để giảm thiểu các mối đe dọa tiềm ẩn cũng như hạn chế quyền truy cập vào dịch vụ OpenSLP đối với các địa chỉ IP đáng tin cậy.
