Η CISA έδωσε εντολή στις υπηρεσίες του Federal Civilian Executive Branch (FCEB) των ΗΠΑ να ασφαλίσουν τους διακομιστές τους έναντι μιας ευπάθειας παράκαμψης ελέγχου ταυτότητας VMware ESXi που χρησιμοποιείται σε επιθέσεις ransomware.

Δείτε επίσης: Play ransomware: Νέα Linux παραλλαγή στοχεύει περιβάλλοντα VMWare ESXi

Η θυγατρική της Broadcom VMware διόρθωσε αυτό το ελάττωμα (CVE-2024-37085), που ανακαλύφθηκε από ερευνητές ασφαλείας της Microsoft στις 25 Ιουνίου με την κυκλοφορία του ESXi 8.0 U3.

Το CVE-2024-37085 επιτρέπει στους εισβολείς να προσθέσουν έναν νέο χρήστη στην ομάδα “ESX Admins“— μπορεί να προστεθεί αφού αποκτήσουν υψηλά προνόμια στον hypervisor ESXi— στον οποίο θα εκχωρηθούν αυτόματα πλήρη δικαιώματα διαχειριστή.

Παρόλο που η επιτυχής εκμετάλλευση θα απαιτούσε αλληλεπίδραση με τον χρήστη και υψηλά προνόμια για να ολοκληρωθεί, και η VMware αξιολόγησε την ευπάθεια ως μέτριας σοβαρότητας, η Microsoft αποκάλυψε ότι αρκετές συμμορίες ransomware την εκμεταλλεύονται ήδη για να αποκτήσουν πλήρη δικαιώματα διαχειριστή σε hypervisors ESXi και να εκτελέσουν επιθέσεις ransomware.

Μόλις αποκτήσουν δικαιώματα διαχειριστή, κλέβουν ευαίσθητα δεδομένα από VM, μετακινούνται πλευρικά μέσω των δικτύων των θυμάτων και στη συνέχεια, κρυπτογραφούν το σύστημα αρχείων του hypervisor ESXi, προκαλώντας διακοπές και διαταραχές στις επιχειρηματικές λειτουργίες.

Δείτε ακόμα: Το SEXi ransomware μετονομάζεται σε APT INC – Επιθέσεις σε VMware ESXi servers

Μέχρι στιγμής, το CVE-2024-37085 έχει γίνει αντικείμενο εκμετάλλευσης από χειριστές ransomware που παρακολουθούνται ως Storm-0506, Storm-1175, Octo Tempest και Manatee Tempest για την ανάπτυξη του Akira και του Black Basta ransomware.

Διορία στις ομοσπονδιακές υπηρεσίες

Μετά την αναφορά της Microsoft, η CISA πρόσθεσε την ευπάθεια ασφαλείας στον κατάλογό της «Known Exploited Vulnerabilities

», χρησιμεύοντας ως προειδοποίηση ότι οι κακόβουλοι παράγοντες το χρησιμοποιούν σε επιθέσεις.

Οι υπηρεσίες των Federal Civilian Executive Branch Agencies (FCEB) έχουν πλέον τρεις εβδομάδες έως τις 20 Αυγούστου για να εξασφαλίσουν τα συστήματά τους από τη συνεχιζόμενη εκμετάλλευση του CVE-2024-37085, σύμφωνα με τη δεσμευτική επιχειρησιακή οδηγία (BOD 22-01) που εκδόθηκε τον Νοέμβριο του 2021.

Αν και αυτή η οδηγία ισχύει μόνο για ομοσπονδιακούς οργανισμούς, η υπηρεσία κυβερνοασφάλειας προέτρεψε έντονα όλους τους οργανισμούς να δώσουν προτεραιότητα στη διόρθωση του ελαττώματος και να αποτρέψουν επιθέσεις ransomware που εκμεταλλεύονται την ευπάθεια VMware ESXi.

Δείτε επίσης: Eldorado ransomware: Νέα απειλή – Στοχεύει VMware ESXi και Windows

Οι επιθέσεις ransomware έχουν γίνει μια από τις πιο επικίνδυνες μορφές κυβερνοεγκλήματος στον σύγχρονο κόσμο. Αυτού του είδους οι επιθέσεις περιλαμβάνουν τη μόλυνση ενός υπολογιστή ή δικτύου με κακόβουλο λογισμικό, το οποίο κρυπτογραφεί τα δεδομένα του θύματος και απαιτεί πληρωμή για να αποκτήσει ξανά πρόσβαση σε αυτά. Οι στόχοι ποικίλλουν από απλούς χρήστες μέχρι μεγάλες εταιρείες και κυβερνητικούς οργανισμούς, προκαλώντας σοβαρές οικονομικές και λειτουργικές ζημιές. Η πρόληψη αυτών των επιθέσεων απαιτεί προσεκτική πολιτική ασφαλείας, τακτικά backups και εκπαίδευση των χρηστών για την αναγνώριση ύποπτων δραστηριοτήτων.

Πηγή: bleepingcomputer