Nepopravljeno programsko napako, ki je prisotna v strežnikih VMWare ESXi, izkoriščajo hekerji z namenom širjenja izsiljevalske programske opreme po vsem svetu.
Nepopravljene strežnike VMWare zlorabljajo hekerji
Dve leti stara ranljivost programske opreme, prisotna v strežnikih VMWare ESXi, je postala tarča obsežne hekerske kampanje. Cilj napada je uvesti ESXiArgs, novo različico izsiljevalske programske opreme. Ocenjuje se, da je bilo prizadetih na stotine organizacij.
Francoska ekipa za odzivanje na računalniške nujne primere (CERT) je 3. februarja objavila izjavo, v kateri je razpravljala o naravi napadov. V CERT objava, je bilo zapisano, da se zdi, da so kampanje "izkoristile izpostavljenost ESXi hipervizorji ki niso bili dovolj hitro posodobljeni z varnostnimi popravki." CERT je tudi opozoril, da hrošč, ki je tarča, "napadalcu omogoča oddaljeno izkoriščanje poljubne kode."
Organizacije so bile pozvane, naj popravijo ranljivost hipervizorja, da ne bi postale žrtve te operacije izsiljevalske programske opreme. Vendar je CERT v zgoraj omenjeni izjavi bralce opozoril, da je "posodabljanje izdelka ali programske opreme občutljivo operacijo, ki jo je treba izvajati previdno,« in da je »priporočljivo opravljati teste čim več mogoče."
O situaciji je spregovoril tudi VMWare
Skupaj s CERT in različnimi drugimi subjekti je VMWare objavil tudi objavo o tem globalnem napadu. V VMWare svetovanje, je bilo zapisano, da lahko ranljivost strežnika (znana kot CVE-2021-21974) povzroči zlonamerne akterje zmožnost "sprožitve težave s prelivanjem kopice v storitvi OpenSLP, ki povzroči oddaljeno kodo izvedba."
VMWare je tudi opozoril, da je februarja 2021 izdal popravek za to ranljivost, ki ga je mogoče uporabiti za prekinitev vektorja napadov zlonamernih operaterjev in se tako izogniti tarči.
Zdi se, da ta napad ni državni
Čeprav identiteta napadalcev v tej kampanji še ni znana, so sporočili iz italijanske nacionalne kibernetske varnosti. Agencija (ACN), da trenutno ni dokazov, ki bi kazali, da je napad izvedel kateri koli državni subjekt (kot poroča Reuters). Ta napad je prizadel različne italijanske organizacije, pa tudi organizacije v Franciji, ZDA, Nemčiji in Kanadi.
Podani so bili predlogi, kdo bi lahko bil odgovoren za to akcijo, s programsko opremo različnih družine izsiljevalskih programov kot so BlackCat, Agenda in Nokoyawa. Čas bo pokazal, ali bo mogoče odkriti identiteto operaterjev.
Napadi izsiljevalske programske opreme še naprej predstavljajo veliko tveganje
Z leti je vse več organizacij žrtev napadov izsiljevalske programske opreme. Ta način kibernetske kriminalitete je postal neverjetno priljubljen med zlonamernimi akterji, s tem globalnim vdorom v VMWare, ki je pokazal, kako zelo razširjene so lahko posledice.