0
0
Hackers estão atacando ativamente servidores VMware ESXi sem correção contra uma vulnerabilidade de execução remota de código de dois anos atrás
Administradores de sistemas, provedores de hospedagem e a equipe francesa de resposta a emergências de computadores (CERT-FR) alertam que hackers estão atacando ativamente servidores VMware ESXi sem correção contra uma vulnerabilidade de execução remota de código (RCE) de dois anos atrás para implantar um novo ransomware ESXiArgs.
Rastreada como CVE-2021-21974, a falha de segurança é causada por um problema de estouro de heap (estrutura de dados) no serviço OpenSLP que pode ser explorado por operadores de ameaças não autenticados em ataques de baixa complexidade. A VMware corrigiu o bug em fevereiro de 2021, mas os ataques visam versões mais antigas e sem patches do produto, como os hipervisores ESXi na versão 6.xe anteriores à 6.7.
A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA disse no domingo, 5, que está “trabalhando com parceiros dos setores público e privado para avaliar os impactos desses incidentes relatados e fornecer assistência quando necessário”.
O problema atraiu a atenção, em particular na Itália, porque coincidiu com uma interrupção da internet em todo país que afetou a operadora de telecomunicações Telecom Italia. Não ficou claro se as interrupções estavam relacionadas aos ataques de ransomware, embora a agência nacional de segurança cibernética daquele país, a ACN, tenha alertado no domingo sobre uma campanha de ransomware em larga escala visando milhares de servidores na Europa e América do Norte.
A equipe da CERT-FR relata que os cibercriminosos têm como alvo os servidores VMware ESXi desde 3 de fevereiro. Para bloquear ataques recebidos, os administradores precisam desabilitar o serviço vulnerável Service Location Protocol (SLP) em hipervisores ESXi que ainda não foram atualizados. O CERT-FR recomenda enfaticamente a aplicação do patch o mais rápido possível, mas acrescenta que os sistemas não corrigidos também devem ser verificados para procurar sinais de comprometimento.
De acordo com especialistas e autoridades, os ataques podem estar relacionados ao ransomware Nevada, que estaria usando o CVE-2021-21974 como vetor de comprometimento. O ataque visa principalmente servidores ESXi em versões anteriores à 7.0 U3i, aparentemente através da porta OpenSLP (427), segundo especialistas O ransomware criptografa arquivos com as extensões .vmxf, .vmx, .vmdk, .vmsd e .nvram em servidores ESXi comprometidos e cria um arquivo .args para cada documento criptografado com metadados (provavelmente necessários para descriptografia).
Mais de 3.200 servidores VMware em todo o mundo foram comprometidos pela campanha de ransomware ESXiArgs até agora, de acordo com uma pesquisa do Censys A França é o país mais afetado, seguida pelos Estados Unidos, Alemanha, Canadá e Reino Unido.
Em uma declaração dada ao TechCrunch, o porta-voz da VMware, Doreen Ruyak, disse que a empresa estava ciente de relatos de que uma variante de ransomware apelidada de ESXiArgs “parece estar aproveitando a vulnerabilidade identificada como CVE-2021-21974” e disse que patches para a vulnerabilidade “foram disponibilizados aos clientes há dois anos no comunicado de segurança da VMware de 23 de fevereiro de 2021”.
“A higiene de segurança é um componente-chave na prevenção de ataques de ransomware, e as organizações que executam versões do ESXi afetadas pelo CVE-2021-21974 e ainda não aplicaram o patch devem agir conforme indicado no comunicado”, acrescentou o porta-voz.
FONTE: CISO ADVISOR