Getty Resimleri
Pazartesi günü geniş çapta bildirilen bir siber saldırı patlaması, iki yıl önce yamalanan bir güvenlik açığından yararlanarak dünyanın dört bir yanındaki sunucuları felç edici fidye yazılımı ile etkiliyor.
Bilgisayar korsanları, VMware’in donanım kaynaklarını birleştirmek için bulut sunucularına ve diğer büyük ölçekli kuruluşlara sattığı bir hipervizör olan ESXi’deki bir kusurdan yararlanır. ESXi olarak bilinen şeydir çıplak metalveya Tip 1 hiper yönetici, yani doğrudan sunucu donanımında çalışan kendi işletim sistemidir. Buna karşılık, VMware’in VirtualBox’ı gibi daha tanıdık Tip 2 hipervizör sınıfı çalıştıran sunucular, bir ana bilgisayar işletim sisteminin üzerinde uygulamalar olarak çalışır. Type 2 hipervizörleri daha sonra Windows, Linux veya daha az sıklıkla macOS gibi kendi konuk işletim sistemlerini barındıran sanal makineleri çalıştırır.
ESXiArgs’a girin
Bilgisayar acil durum müdahale ekipleri (CERT) tarafından yakın zamanda yayınlanan tavsiyeler Fransa, İtalyaVe Avusturya en geç Cuma günü başlayan ve o zamandan beri ivme kazanan “devasa” bir kampanya bildirdi. Avusturya’daki CERT yetkilileri, Census’ta yapılan bir aramanın sonuçlarına atıfta bulunarak, Pazar günü itibariyle sekizi o ülkede olmak üzere 3.200’den fazla virüslü sunucu olduğunu söyledi.
Yetkililer, “ESXi sunucuları sanal makineler (VM) olarak çok sayıda sistem sağladığından, bu sayıdan çok sayıda bireysel sistemin etkilenmesi beklenebilir” diye yazdı yetkililer.
Sunuculara bulaşmak için kullanılan güvenlik açığı, CVE-2021-21974ESXi’ye dahil edilmiş bir açık ağ bulma standardı olan OpenSLP’deki yığın tabanlı bir arabellek taşmasından kaynaklanır. Ne zaman VMware güvenlik açığını yamaladı Şubat 2021’de şirket, 427 numaralı bağlantı noktası üzerinden aynı ağ segmentine erişimi olan kötü niyetli bir aktör tarafından istismar edilebileceği konusunda uyardı. Güvenlik açığının önem derecesi, olası 10 üzerinden 8,8’di. istismar kodu Ve talimatlar kullanım için birkaç ay sonra kullanılabilir hale geldi.
Hafta sonu, Fransız bulut sunucusu OVH söz konusu müşterileri tarafından kurulan savunmasız sunuculara yama yapma yeteneğine sahip olmadığını.
OVH’nin baş bilgi güvenliği sorumlusu Julien Levrard, “ESXi OS yalnızca çıplak donanım sunucularına kurulabilir” diye yazdı. “Müşterilerimiz tarafından ESXI kurulumunu algılamak için otomasyon günlüklerimize dayanarak savunmasız sunucuları belirlemek için birkaç girişim başlattık. Müşteri sunucularımıza mantıksal erişimimiz olmadığı için sınırlı eylem araçlarına sahibiz.”
Bu arada şirket, 427 numaralı bağlantı noktasına erişimi engelledi ve ayrıca savunmasız sunucular çalıştırdığını belirlediği tüm müşterilere bildirimde bulunuyor.
Levrard, saldırılara yüklenen fidye yazılımının .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram ve .vmem ile bitenler de dahil olmak üzere sanal makine dosyalarını şifrelediğini söyledi. Kötü amaçlı yazılım daha sonra VMX olarak bilinen bir işlemi sonlandırarak dosyaların kilidini açmaya çalışır. İşlev, geliştiricilerinin amaçladığı gibi çalışmıyor ve bu da dosyaların kilitli kalmasına neden oluyor.
Araştırmacılar kampanyayı ve arkasındaki fidye yazılımını ESXiArgs olarak adlandırdı çünkü kötü amaçlı yazılım bir belgeyi şifreledikten sonra “.args” uzantılı ek bir dosya oluşturuyor. .args dosyası, şifrelenmiş verilerin şifresini çözmek için kullanılan verileri depolar.
YöreGroup Teknoloji Ekibi’nden araştırmacılar Enes Sönmez ve Ahmet Aykaç, bildirildi ESXiArgs için şifreleme işleminin, kurbanların şifrelenmiş verileri geri yüklemesine olanak tanıyan hatalar yapabileceğini. OVH’den Levrard, ekibinin araştırmacıların tarif ettiği restorasyon sürecini test ettiğini ve girişimlerin yaklaşık üçte ikisinde başarılı bulduğunu söyledi.
ESXi’ye güvenen herkes, yaptığı işi bırakmalı ve CVE-2021-21974 yamalarının yüklendiğinden emin olmalıdır. Yukarıda bağlantısı verilen öneriler ayrıca bu hipervizörü kullanan sunucuları kilitlemek için daha fazla rehberlik sağlar.