Ngày 07 tháng 2 năm 2023Ravie Lakshmanan Bảo mật điểm cuối / Zero-Day
vmware hôm thứ Hai cho biết họ không tìm thấy bằng chứng nào cho thấy các tác nhân đe dọa đang tận dụng một lỗ hổng bảo mật không xác định, tức là lỗ hổng zero-day, trong phần mềm của mình như một phần của cuộc tấn công ransomware đang diễn ra trên toàn thế giới.
Nhà cung cấp dịch vụ ảo hóa cho biết: “Hầu hết các báo cáo đều nêu rõ rằng Kết thúc hỗ trợ chung (EoGS) và/hoặc các sản phẩm lỗi thời đáng kể đang được nhắm mục tiêu với các lỗ hổng đã biết đã được giải quyết và tiết lộ trước đó trong Tư vấn bảo mật VMware (VMSA)”.
Công ty tiếp tục khuyến nghị người dùng nâng cấp lên các bản phát hành mới nhất được hỗ trợ của các thành phần vSphere để giảm thiểu các sự cố đã biết và vô hiệu hóa dịch vụ OpenSLP trong ESXi.
“Vào năm 2021, ESXi 7.0 U2c và ESXi 8.0 GA bắt đầu được bán với dịch vụ bị tắt theo mặc định,” VMware cho biết thêm.
Thông báo này được đưa ra khi các máy chủ VMware ESXi chưa được vá và không được bảo mật trên toàn thế giới đã trở thành mục tiêu của một chiến dịch ransomware quy mô lớn có tên là ESXiArgs bằng cách có khả năng khai thác một lỗi đã tồn tại hai năm mà VMware đã vá vào tháng 2 năm 2021.
Lỗ hổng, được theo dõi là CVE-2021-21974 (điểm CVSS: 8,8), là lỗ hổng tràn bộ đệm dựa trên heap OpenSLP mà tác nhân đe dọa chưa được xác thực có thể khai thác để thực thi mã từ xa.
Các cuộc xâm nhập dường như nhắm vào các máy chủ ESXi nhạy cảm tiếp xúc với internet trên cổng OpenSLP 427, với các nạn nhân được hướng dẫn trả 2,01 Bitcoin (khoảng 45.990 đô la khi viết) để nhận khóa mã hóa cần thiết để khôi phục tệp. Không có dữ liệu trích xuất đã được quan sát cho đến nay.
Dữ liệu từ GreyNoise cho thấy 19 địa chỉ IP duy nhất đã cố gắng khai thác lỗ hổng ESXi kể từ ngày 4 tháng 2 năm 2023. 18 trong số 19 địa chỉ IP được phân loại là lành tính, với một hoạt động khai thác độc hại duy nhất được ghi nhận từ Hà Lan.
Caitlin Condon, nhà nghiên cứu của Rapid7 cho biết: “Khách hàng của ESXi nên đảm bảo dữ liệu của họ được sao lưu và nên cập nhật bản cài đặt ESXi của họ lên phiên bản cố định trong trường hợp khẩn cấp mà không cần đợi chu kỳ vá lỗi thông thường xảy ra”. “Các phiên bản ESXi không được tiếp xúc với internet nếu có thể.”
Cập nhật:
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) hôm thứ Ba đã phát hành một tập lệnh khôi phục cho các tổ chức đã trở thành nạn nhân của ransomware ESXiArgs. Cơ quan lưu ý: “Phần mềm tống tiền ESXiArgs mã hóa các tệp cấu hình trên các máy chủ ESXi dễ bị tổn thương, có khả năng khiến các máy ảo (VM) không sử dụng được”.
CISA cũng đã đưa ra một lời khuyên, cảnh báo rằng các tác nhân đe dọa đang “khai thác các lỗ hổng đã biết trong phần mềm VMware ESXi để có quyền truy cập vào máy chủ và triển khai phần mềm tống tiền ESXiArgs.” Cho đến nay, hơn 3.800 máy chủ trên toàn cầu đã bị xâm phạm.
Danh tính của những kẻ thù đằng sau chiến dịch không rõ ràng và có vẻ như các cuộc tấn công đang lợi dụng một số lỗ hổng OpenSLP cao cấp trong ESXi để có được quyền truy cập ban đầu.
