Fransa’nın Bilgisayar Acil Durum Müdahale Ekibi bir Uyarı Bülteni VMware’in ESXI hipervizörüne fidye yazılımı bulaştırma kampanyasıyla ilgili.
Bununla küçük bir dil dersi alıyoruz: Fransa’nın CERT’si bunu “déployer un rançongiciel” girişimi olarak tanımlarken, İtalya’nın Agenzia per la Cybersicurezza Nazionale – aynı zamanda uyardı kampanyanın – bir “fidye yazılımı engelleme”nin yolda olduğu konusunda uyarıda bulunur.
Her iki ülkenin bilgi güvenliği yetkilileri saldırının kaynağı hakkında herhangi bir bilgi sunmuyor, ancak her ikisi de saldırının 9.1/10 dereceli bir hata olan CVE-2021-21974’ten sonra gittiğini belirtiyor. ifşa ve yamalı neredeyse iki yıl önce Şubat 2021’de.
CVE-2021-21974, ESXi 7.0, 6.7 ve 6.5’i etkiler. Son iki sürüm, Ekim 2022’de destekten çıktı.
Desteklenmeyen ve yama uygulanmamış kod çalıştıranlarınızın bunu yapmak için iyi nedenleri olduğundan eminiz. Artık davranışınızı değiştirmek için çok iyi bir nedeniniz var. derhal, çünkü fidye yazılımı sapancıları bazı zengin hedefler görmedikçe kampanya başlatmazlar. Ve hedefler ESXi’den daha zengin olamaz; çıplak donanım hipervizörü, uygulamaları çalıştıran ve veri depolayan birçok konuk makineye erişim sağlayabilir.
Neyse ki, bu saldırıda dağıtılan fidye yazılımı biraz saçma. Fransa merkezli bulut OVH, gözlenen kampanya ve şifrelemenin bazen başarısız olduğuna ve bu verilerin dışarı sızmadığına inanıyor. Şifre çözme araçları da zaten mevcut.
Kuruluş ayrıca aşağıdaki uzlaşma göstergelerini de gözlemledi:
- Tehlike vektörünün CVE-2021-21974 olabilecek bir OpenSLP güvenlik açığı kullandığı onaylandı (hala onaylanacak). Günlükler aslında kullanıcıyı gösterir
dc-uiuzlaşma sürecine dahil olduğu için. - Şifreleme, kötü amaçlı yazılım tarafından dağıtılan bir genel anahtarı kullanıyor.
/tmp/public.pem - Şifreleme işlemi özellikle sanal makine dosyalarını hedefliyor (
.vmdk,.vmx,.vmxf,.vmsd,.vmsn,.vswp,.vmss,.nvram,*.vmem) - Kötü amaçlı yazılım, dosyaların kilidini açmak için VMX işlemini sonlandırarak sanal makineleri kapatmaya çalışır. Bu işlev sistematik olarak beklendiği gibi çalışmıyor, bu da dosyaların kilitli kalmasına neden oluyor.
- Kötü amaçlı yazılım oluşturur
argsfileşifreleme ikilisine iletilen bağımsız değişkenleri depolamak için (atlanacak MB sayısı, şifreleme bloğundaki MB sayısı, dosya boyutu).
Yukarıdakiler, kullanıcıların bu kampanya tarafından hedef alınıp alınmadıklarını ve potansiyel olarak fidye yazılımı tarafından etkilenip etkilenmediklerini belirlemelerine yardımcı olacaktır.
Bu arada VMware, uyardı 2 Şubat’ta İş İstasyonu masaüstü hipervizörünün 17.x sürümündeki bir Rastgele dosya silme güvenlik açığı. CVE-2023-20854, “kurbanın makinesinde yerel kullanıcı ayrıcalıklarına sahip kötü niyetli bir aktör, İş İstasyonunun kurulu olduğu makinenin dosya sisteminden rasgele dosyaları silmek için bu güvenlik açığından yararlanabilir” şeklinde 7,8/10 olarak derecelendirilmiştir.
17.0.1 sürümüne yükseltme, onu kafasına vurur. ®