Yöneticiler, barındırma sağlayıcıları ve Fransız Bilgisayar Acil Müdahale Ekibi (CERT-FR), saldırganların fidye yazılımlarını dağıtmak için iki yaşındaki bir uzaktan kod yürütme kırılganlığına karşı aktif olarak VMware ESXI sunucularını hedefledikleri konusunda uyarıyor.
CVE-2021-21974 olarak izlenen güvenlik kusuru, OpenSLP hizmetinde düşük karmaşıklık saldırılarında kimlik doğrulanmamış tehdit aktörleri tarafından kullanılabilecek bir yığın taşma sorunu neden olur.
Cert-FR, "Mevcut soruşturmalar olarak, bu saldırı kampanyaları, 23 Şubat 2021'den bu yana bir yama bulunduğu güvenlik açığı CVE-2021-21974'ten yararlanıyor gibi görünüyor." Dedi.
"Şu anda hedeflenen sistemler 6.x sürümünde ve 6.7'den önce ESXI hipervervizörleri olacaktır."
Gelen saldırıları engellemek için yöneticiler, henüz güncellenmemiş ESXI hipervizörleri üzerinde savunmasız hizmet konumu protokolü (SLP) hizmetini devre dışı bırakmalıdır.
CERT-FR, yamanın mümkün olan en kısa sürede uygulanmasını şiddetle tavsiye eder, ancak serbest bırakılmamış sistemlerin de uzlaşma belirtileri aramak için taranması gerektiğini ekler.
CVE-2021-21974 aşağıdaki sistemleri etkiler:
Fransız bulut sağlayıcısı Ovhcloud, bugün VMware ESXI sunucularını hedefleyen bu büyük saldırı dalgasını Nevada fidye yazılımı işlemiyle ilişkilendiren bir rapor yayınladı.
Ovhcloud Ciso Julien Levrary, "Ekosistemden ve otomobillerden uzmanlara göre, Nevada fidye yazılımı ile ilişkili olabilirler ve uzlaşma vektörü olarak CVE-2021-21974'ü kullanıyorlar. Bu varsayımları doğrulamak için araştırmalar devam ediyor." Dedi.
"Saldırı öncelikle ESXI sunucularını 7.0 U3i'den önce, görünüşe göre OpenSLP bağlantı noktası (427) üzerinden hedefliyor."
Bir Shodan aramasına göre, dünya çapında en az 120 VMware ESXI sunucusu bu fidye yazılımı kampanyasında zaten tehlikeye atıldı.
Bununla birlikte, bu saldırıda görülen fidye notlarından, Nevada fidye yazılımı ile ilişkili görünmüyorlar ve yeni bir fidye yazılımı ailesinden gibi görünüyorlar.
Kabaca dört saat önce başlayarak, bu kampanyadan etkilenen kurbanlar da BleepingComputer'ın forumuna yönelik saldırıları bildirmeye ve verilerinin nasıl kurtarılacağı hakkında yardım ve daha fazla bilgi istemektedir.
Ransomware, dosyaları .vmxf, .vmx, .vmdk, .vmsd ve .nvram uzantılarıyla tehlikeye atar ve tehlikeye atılan ESXI sunucuları üzerinde uzantılar.
Bu saldırının arkasındaki tehdit aktörleri verileri çaldığını iddia ederken, bir kurban BleepingComputer forumlarında olaylarında durum böyle olmadığını bildirdi.
"Araştırmamız verilerin sızmadığını belirledi. Bizim durumumuzda, saldırıya uğramış makinenin 500 GB'tan fazla veri vardı, ancak sadece 2 Mbps'lik tipik kullanıma sahipti. Son 90 gün boyunca trafik istatistiklerini gözden geçirdik ve giden verilere dair hiçbir kanıt bulamadık. transfer, "dedi yönetici.
Mağdurlar ayrıca kilitli sistemlerde "Ransom.html" ve "Dosyalarınızı Nasıl Geri Yüklenir.html" adlı fidye notları buldular. Diğerleri notlarının düz metin dosyaları olduğunu söyledi.
ID Ransomware'den Michael Gillespie şu anda fidye yazılımlarını 'Esxiargs' adı altında izliyor, ancak BleepingComputer'a bir örnek bulana kadar şifrelemede herhangi bir zayıflık olup olmadığını belirlemenin bir yolu olmadığını söyledi.
BleepingComputer, insanların bu saldırı ile ilgili deneyimlerini bildirdikleri özel bir destek konusuna sahiptir.
Yeni bilgileriniz veya kötü amaçlı yazılımların bir kopyası varsa, araştırmacıların zayıflıklar için analiz edebilmesi için lütfen bize bildirin.
Bu gelişmekte olan bir hikaye ve kullanılabilir hale geldikçe yeni bilgilerle güncellenecek ...
Ransomware'de Hafta - 3 Şubat 2023 - Bir karmaşa ile bitiyor
Yeni Nevada Fidye Yazılımı Windows ve VMware ESXI Sistemlerini Hedefliyor
VMware, kritik ESXI'yi düzeltir ve güvenlik kusurlarını vrealize eder
Multi milyon dolarlık saldırılarda yeni kraliyet fidye yazılımı ortaya çıkıyor
Microsoft: 100'den fazla tehdit aktörü saldırılarda fidye yazılımı dağıtıyor
Kaynak: Bleeping Computer