0
0
As equipes de segurança que trabalham para proteger suas organizações contra uma vulnerabilidade de quase dois anos na tecnologia de hipervisor ESXi da VMware, que os invasores começaram a explorar em massa na semana passada, devem prestar atenção a todos os hosts ESXi no ambiente, não apenas aos acessíveis pela Internet.
Esse é o conselho do fornecedor de segurança Bitdefender depois de analisar a ameaça e descobrir que os invasores podem explorá-la de várias maneiras.
Defeito de dois anos
A vulnerabilidade em questão, CVE-2021-21974 , está presente na implementação da VMware de um protocolo de entrega de serviço no ESXi chamado Open Service Location Protocol (OpenSLP). A vulnerabilidade oferece aos invasores não autenticados a capacidade de executar remotamente códigos maliciosos nos sistemas afetados sem qualquer interação do usuário.
A VMware divulgou a vulnerabilidade em fevereiro de 2021 e lançou um patch para ela ao mesmo tempo. Desde então, os invasores o atacaram fortemente e fizeram do CVE-2021-29174 uma das vulnerabilidades mais exploradas em 2021 e 2022. Em 3 de fevereiro, a equipe de resposta a emergências de computadores da França alertou sobre maus atores explorando o CVE-2021-21974 para distribuir um ransomware variante apelidada de ransomware ESXiArgs em hosts ESXi em todo o mundo.
A natureza generalizada dos ataques levou a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a lançar um script de recuperação que as vítimas do ESXiArgs poderiam usar para tentar recuperar seus sistemas.
Martin Zugec, diretor de soluções técnicas da Bitdefender, diz que embora o vetor de comprometimento inicial permaneça desconhecido, uma teoria popular é que é por meio de exploração direta através da porta 427 exposta à Internet. A própria VMware recomendou que, se as organizações não puderem corrigir imediatamente, elas devem bloquear o acesso para a porta 427.
Embora essa medida possa desacelerar um adversário , ela não elimina totalmente o risco da falha porque os invasores também podem explorar a vulnerabilidade de outras maneiras, diz Zugec. Se uma organização bloquear a porta 427, por exemplo, um invasor ainda poderá comprometer uma das máquinas virtuais em execução em um host ESXi por meio de qualquer vulnerabilidade existente.
Eles poderiam escapar da máquina virtual comprometida para explorar a vulnerabilidade no OpenSLP e obter acesso root ao host, diz ele.
Outras maneiras de explorar falhas
“Atores de ameaças podem usar qualquer vulnerabilidade existente para comprometer uma máquina virtual – seja ela baseada em Linux ou Windows”, observa Zugec.
Um agente de ameaça também pode comprar com relativa facilidade na Dark Web o acesso a uma máquina virtual previamente comprometida e tentar a execução remota de código OpenSLP contra o hipervisor de hospedagem, diz ele.
“Se for bem-sucedido, o agente da ameaça pode obter acesso não apenas ao host do hipervisor, mas também a todas as outras máquinas em execução no mesmo servidor”, diz Zugec. “A exploração do OpenSLP, neste caso, permitiria que um agente de ameaça escalasse seu acesso e se movesse lateralmente para outras máquinas – potencialmente mais valiosas”.
Zugec diz que a Bitdefender até agora não viu nenhuma evidência de invasores explorando a vulnerabilidade do VMware ESXi dessa maneira. Mas, dado o foco principal na exploração direta via porta 427, a Bitdefender queria alertar o público sobre outros métodos para explorar essa vulnerabilidade, diz ele. Além de bloquear o acesso à porta 427, a VMware também recomendou que as organizações que não podem corrigir o CVE-2021-21974 simplesmente desabilitem o SLP sempre que possível.
Tons de WannaCry
A Bitdefender disse que sua análise dos últimos ataques direcionados ao CVE-2021-21974 sugere que os agentes de ameaças por trás deles são oportunistas e não muito sofisticados. Muitos dos ataques parecem completamente automatizados por natureza, desde varreduras iniciais de sistemas vulneráveis até a implantação de ransomware.
“Podemos comparar isso com o WannaCry”, observa Zugec. “Embora esses ataques possam atingir uma ampla gama de máquinas, o impacto permanece limitado”.
Mas agentes de ameaças mais sofisticados usariam a falha no ESXi para conduzir uma operação muito maior, diz ele. Agentes de acesso inicial, por exemplo, podem implantar um shell remoto da Web e desabilitar o serviço SLP para que outros agentes de ameaças não possam explorar a mesma falha. Eles poderiam simplesmente esperar pela melhor oportunidade de monetizar seu acesso. As opções potenciais podem incluir roubo de dados, vigilância e cryptojacking.
Para lidar totalmente com o risco de um ataque cibernético explorando a vulnerabilidade do VMware, a Bitdefender — como o VMware e outros — recomenda que as organizações apliquem o patch imediatamente.
FONTE: DARK READING