سازمانهایی که از نسخههای قدیمیتر هایپروایزرهای VMWare ESXi استفاده میکنند، درس سختی در مورد بهروز ماندن با وصلههای آسیبپذیری میآموزند، به عنوان یک حمله جهانی باجافزار به آنچه که VMware آن را «پایان پشتیبانی عمومی (EOGS)» و/یا بهطور قابلتوجهی خارج از سیستم میداند. محصولات خرما” ادامه دارد.
به گفته محققان، با این حال، این حمله همچنین به مشکلات گستردهتری در قفل کردن محیطهای مجازی اشاره میکند.
VMware در بیانیهای در 6 فوریه تأیید کرد که حمله باجافزاری که اولین بار توسط تیم واکنش اضطراری رایانهای فرانسه (CERT-FR) در 3 فوریه پرچمگذاری شد، از یک نقص ناشناخته یا “روز صفر” سوء استفاده نمیکند، بلکه از آسیبپذیریهایی که قبلاً شناسایی شده بود، استفاده میکند. توسط فروشنده وصله شده است.
در واقع، قبلاً اعتقاد بر این بود که راه اصلی سازش در حمله ای که یک نوع باج افزار جدید به نام “ESXiArgs” را منتشر می کند، یک سوء استفاده برای یک آسیب پذیری امنیتی اجرای کد از راه دور (RCE) 2 ساله (CVE-2021-21974) است. که بر سرویس پروتکل مکان سرویس باز (OpenSLP) هایپروایزر تأثیر می گذارد.
VMware در بیانیه به مشتریان گفت: «با در نظر گرفتن این موضوع، ما به مشتریان توصیه میکنیم که به آخرین نسخههای پشتیبانی شده موجود از مؤلفههای vSphere ارتقا دهند تا آسیبپذیریهای شناخته شده فعلی را برطرف کنند».
این شرکت همچنین به مشتریان توصیه کرد که سرویس OpenSLP را در ESXi غیرفعال کنند، کاری که VMware به طور پیشفرض در نسخههای ارسال شده این پروژه از سال 2021 با ESXi 7.0 U2c و ESXi 8.0 GA شروع به انجام آن کرد تا مشکل را کاهش دهد.
سیستم های اصلاح نشده دوباره در تیررس
تایید VMware به این معنی است که حمله توسط عاملان ناشناخته که تاکنون هزاران سرور را در کانادا، فرانسه، فنلاند، آلمان، تایوان و ایالات متحده در معرض خطر قرار داده است، ممکن است توسط چیزی که همه سازمانها به وضوح نیاز به انجام بهتر آن دارند اجتناب شده باشد – پچ آسیبپذیر. دارایی های فناوری اطلاعات – کارشناسان امنیتی گفتند.
جان لومند، مدیر ارشد فناوری شرکت حفاظت از باجافزار BullWall، خاطرنشان میکند: «این فقط نشان میدهد که چقدر طول میکشد تا بسیاری از سازمانها به اصلاح سیستمها و برنامههای داخلی بپردازند، که این تنها یکی از دلایلی است که مجرمان همچنان راه خود را پیدا میکنند».
برنارد مونتل، مدیر فنی EMEA و استراتژیست امنیتی شرکت مدیریت مواجهه امنیتی Tenable معتقد است که این یک “حقیقت غم انگیز” است که آسیب پذیری های شناخته شده با یک اکسپلویت در دسترس اغلب بدون اصلاح باقی می مانند..
او به Dark Reading می گوید: «این سازمان ها را در معرض خطر باورنکردنی از نفوذ موفقیت آمیز قرار می دهد. “در این مورد، با آسیبپذیری VMWare، تهدید با توجه به بهرهبرداری فعال بسیار زیاد است.”
با این حال، مونتل اذعان میکند که حتی با توجه به خطرات ناشی از اصلاح نشدن سیستمهای آسیبپذیر، ایجاد تعادل بین نیاز به بهروزرسانی سیستمها و تأثیری که زمان از کار افتادگی لازم برای انجام این کار میتواند بر کسبوکار داشته باشد، برای سازمانها یک مسئله پیچیده است.
او میگوید: «مسئله بسیاری از سازمانها ارزیابی آپتایم است، در مقابل آفلاین کردن چیزی برای اصلاح». “در این مورد، محاسبه واقعا نمی تواند ساده تر باشد – چند دقیقه ناراحتی، یا چند روز اختلال.”
مجازی سازی ذاتاً یک خطر است
سایر کارشناسان امنیتی معتقدند که حمله ESXi در حال انجام به اندازه یک مشکل اصلاحی ساده نیست. اگر چه عدم وصله ممکن است مشکل برخی از سازمان ها را در این مورد حل کند، اما در مورد محافظت از محیط های مجازی به طور کلی به این سادگی نیست.
دیوید مینور، مدیر ارشد اطلاعات تهدید در شرکت آموزشی امنیت سایبری Cybrary می گوید واقعیت این است که VMware به عنوان یک پلتفرم و به طور خاص ESXi محصولات پیچیده ای برای مدیریت از منظر امنیتی هستند و در نتیجه اهداف آسانی برای مجرمان سایبری هستند. در واقع، کمپینهای باجافزاری متعدد تنها در سال گذشته ESXi را هدف قرار دادهاند و نشان میدهند که مهاجمان باهوش پتانسیل موفقیت خود را تشخیص میدهند.
مهاجمان با ماهیت مجازی سازی شده یک محیط ESXi امتیاز اضافی دریافت می کنند که اگر به یک Hypervisor ESXi نفوذ کنند که می تواند چندین ماشین مجازی (VM) را کنترل یا دسترسی داشته باشد، “ممکن است سیستم های زیادی را میزبانی کند که همچنین می تواند مینور میگوید بدون هیچ کار اضافی به خطر افتاده است.
مونتل خاطرنشان می کند، در واقع، این مجازی سازی که در قلب هر محیط مبتنی بر ابر قرار دارد، کار عوامل تهدید را از بسیاری جهات آسان کرده است. این به این دلیل است که آنها فقط باید یک آسیب پذیری را در یک نمونه از یک Hypervisor خاص هدف قرار دهند تا به کل شبکه دسترسی پیدا کنند.
او میگوید: «بازیگران تهدید میدانند که هدف قرار دادن این سطح با یک تیر میتواند به آنها اجازه دهد تا امتیازات خود را بالا ببرند و به همه چیز دسترسی داشته باشند. “اگر آنها بتوانند دسترسی داشته باشند، می توانند بدافزار را برای نفوذ به سطح هایپروایزر و ایجاد عفونت انبوه تحت فشار قرار دهند.”
نحوه محافظت از سیستم های VMware زمانی که نمی توانید پچ کنید
از آنجایی که آخرین حمله باجافزار ادامه دارد – با اپراتورهای آن که فایلها را رمزگذاری میکنند و درخواست میکنند حدود 2 بیت کوین (یا 23000 دلار در زمان چاپ) ظرف سه روز پس از به خطر افتادن یا خطر انتشار دادههای حساس تحویل داده شود، سازمانها با نحوه حل مشکل اساسی دست و پنجه نرم میکنند. که چنین حمله گسترده ای را ایجاد می کند.
دن مایر، محقق تهدید در Stairwell خاطرنشان می کند که اصلاح یا به روز رسانی فوری هر سیستم آسیب پذیر ممکن است کاملاً واقع بینانه نباشد، ممکن است نیاز به پیاده سازی رویکردهای دیگر باشد. او میگوید: «حقیقت این است که همیشه سیستمهای اصلاحنشده وجود دارند، چه به دلیل ریسک محاسبهشده توسط سازمانها یا به دلیل محدودیتهای منابع و زمان.»
خطر داشتن یک سیستم اصلاح نشده به خودی خود ممکن است با سایر اقدامات امنیتی کاهش یابد، مانند نظارت مستمر زیرساخت های سازمانی برای فعالیت های مخرب و آمادگی برای پاسخ سریع و بخش بندی مناطق حمله در صورت بروز مشکل.
برمک مفتاح، شریک موسس، خاطرنشان می کند: در واقع، سازمان ها باید بر اساس این فرض عمل کنند که جلوگیری از باج افزار “همیشه غیرممکن است” و بر روی قرار دادن ابزارهایی برای “کاهش دادن تاثیرات” تمرکز کنند، مانند طرح های بازیابی فاجعه و داده های تغییر یافته در زمینه. در شرکت سرمایه گذاری خطرپذیر امنیت سایبری Balistic Ventures.
با این حال، حمله مداوم VMware ESXi باج افزار مسئله دیگری را برجسته می کند که به ناتوانی ذاتی بسیاری از سازمان ها در انجام اقدامات پیشگیرانه لازم کمک می کند: شکاف مهارت و درآمد در سراسر جهان در حوزه امنیت فناوری اطلاعات.
او به دارک ریدینگ می گوید: «ما در کشورهایی که شرکت های ثروتمند هدف هستند، متخصصان فناوری اطلاعات کافی نداریم. در عین حال، بازیگران تهدید کننده در سرتاسر جهان وجود دارند که میتوانند با استفاده از مهارتهای خود برای اخاذی از دیگران، زندگی بهتری نسبت به کارهای قانونی امنیت سایبری داشته باشند.»
مایر به گزارش سازمان غیرانتفاعی امنیت سایبری بین المللی (ICS) استناد می کند2) که گفته می شود برای ایمن سازی مؤثر دارایی ها، نیروی کار امنیت سایبری به 3.4 میلیون کارگر امنیت سایبری نیاز دارد. مایر میگوید: «تا زمانی که این اتفاق نیفتد، ما باید آموزش این کارگران را افزایش دهیم، و در حالی که شکاف هنوز وجود دارد، به کسانی که مهارتها را در سرتاسر دنیا دارند، ارزششان را بپردازیم، تا آنها بخشی از مشکل نباشند». .
داستان کامل را در سایت خواهر ما Dark Reading بخوانید.