هایپروایزرهای قدیمی VMware از حمله جهانی باج افزار رنج می برند | دانش مرکز داده

سازمان‌هایی که از نسخه‌های قدیمی‌تر هایپروایزرهای VMWare ESXi استفاده می‌کنند، درس سختی در مورد به‌روز ماندن با وصله‌های آسیب‌پذیری می‌آموزند، به عنوان یک حمله جهانی باج‌افزار به آنچه که VMware آن را «پایان پشتیبانی عمومی (EOGS)» و/یا به‌طور قابل‌توجهی خارج از سیستم می‌داند. محصولات خرما” ادامه دارد.

به گفته محققان، با این حال، این حمله همچنین به مشکلات گسترده‌تری در قفل کردن محیط‌های مجازی اشاره می‌کند.

VMware در بیانیه‌ای در 6 فوریه تأیید کرد که حمله باج‌افزاری که اولین بار توسط تیم واکنش اضطراری رایانه‌ای فرانسه (CERT-FR) در 3 فوریه پرچم‌گذاری شد، از یک نقص ناشناخته یا “روز صفر” سوء استفاده نمی‌کند، بلکه از آسیب‌پذیری‌هایی که قبلاً شناسایی شده بود، استفاده می‌کند. توسط فروشنده وصله شده است.

در واقع، قبلاً اعتقاد بر این بود که راه اصلی سازش در حمله ای که یک نوع باج افزار جدید به نام “ESXiArgs” را منتشر می کند، یک سوء استفاده برای یک آسیب پذیری امنیتی اجرای کد از راه دور (RCE) 2 ساله (CVE-2021-21974) است. که بر سرویس پروتکل مکان سرویس باز (OpenSLP) هایپروایزر تأثیر می گذارد.

VMware در بیانیه به مشتریان گفت: «با در نظر گرفتن این موضوع، ما به مشتریان توصیه می‌کنیم که به آخرین نسخه‌های پشتیبانی شده موجود از مؤلفه‌های vSphere ارتقا دهند تا آسیب‌پذیری‌های شناخته شده فعلی را برطرف کنند».

این شرکت همچنین به مشتریان توصیه کرد که سرویس OpenSLP را در ESXi غیرفعال کنند، کاری که VMware به طور پیش‌فرض در نسخه‌های ارسال شده این پروژه از سال 2021 با ESXi 7.0 U2c و ESXi 8.0 GA شروع به انجام آن کرد تا مشکل را کاهش دهد.

سیستم های اصلاح نشده دوباره در تیررس

تایید VMware به این معنی است که حمله توسط عاملان ناشناخته که تاکنون هزاران سرور را در کانادا، فرانسه، فنلاند، آلمان، تایوان و ایالات متحده در معرض خطر قرار داده است، ممکن است توسط چیزی که همه سازمان‌ها به وضوح نیاز به انجام بهتر آن دارند اجتناب شده باشد – پچ آسیب‌پذیر. دارایی های فناوری اطلاعات – کارشناسان امنیتی گفتند.

جان لومند، مدیر ارشد فناوری شرکت حفاظت از باج‌افزار BullWall، خاطرنشان می‌کند: «این فقط نشان می‌دهد که چقدر طول می‌کشد تا بسیاری از سازمان‌ها به اصلاح سیستم‌ها و برنامه‌های داخلی بپردازند، که این تنها یکی از دلایلی است که مجرمان همچنان راه خود را پیدا می‌کنند».

برنارد مونتل، مدیر فنی EMEA و استراتژیست امنیتی شرکت مدیریت مواجهه امنیتی Tenable معتقد است که این یک “حقیقت غم انگیز” است که آسیب پذیری های شناخته شده با یک اکسپلویت در دسترس اغلب بدون اصلاح باقی می مانند..

او به Dark Reading می گوید: «این سازمان ها را در معرض خطر باورنکردنی از نفوذ موفقیت آمیز قرار می دهد. “در این مورد، با آسیب‌پذیری VMWare، تهدید با توجه به بهره‌برداری فعال بسیار زیاد است.”

با این حال، مونتل اذعان می‌کند که حتی با توجه به خطرات ناشی از اصلاح نشدن سیستم‌های آسیب‌پذیر، ایجاد تعادل بین نیاز به به‌روزرسانی سیستم‌ها و تأثیری که زمان از کار افتادگی لازم برای انجام این کار می‌تواند بر کسب‌وکار داشته باشد، برای سازمان‌ها یک مسئله پیچیده است.

او می‌گوید: «مسئله بسیاری از سازمان‌ها ارزیابی آپ‌تایم است، در مقابل آفلاین کردن چیزی برای اصلاح». “در این مورد، محاسبه واقعا نمی تواند ساده تر باشد – چند دقیقه ناراحتی، یا چند روز اختلال.”

مجازی سازی ذاتاً یک خطر است

سایر کارشناسان امنیتی معتقدند که حمله ESXi در حال انجام به اندازه یک مشکل اصلاحی ساده نیست. اگر چه عدم وصله ممکن است مشکل برخی از سازمان ها را در این مورد حل کند، اما در مورد محافظت از محیط های مجازی به طور کلی به این سادگی نیست.

دیوید مینور، مدیر ارشد اطلاعات تهدید در شرکت آموزشی امنیت سایبری Cybrary می گوید واقعیت این است که VMware به عنوان یک پلتفرم و به طور خاص ESXi محصولات پیچیده ای برای مدیریت از منظر امنیتی هستند و در نتیجه اهداف آسانی برای مجرمان سایبری هستند. در واقع، کمپین‌های باج‌افزاری متعدد تنها در سال گذشته ESXi را هدف قرار داده‌اند و نشان می‌دهند که مهاجمان باهوش پتانسیل موفقیت خود را تشخیص می‌دهند.

مهاجمان با ماهیت مجازی سازی شده یک محیط ESXi امتیاز اضافی دریافت می کنند که اگر به یک Hypervisor ESXi نفوذ کنند که می تواند چندین ماشین مجازی (VM) را کنترل یا دسترسی داشته باشد، “ممکن است سیستم های زیادی را میزبانی کند که همچنین می تواند مینور می‌گوید بدون هیچ کار اضافی به خطر افتاده است.

مونتل خاطرنشان می کند، در واقع، این مجازی سازی که در قلب هر محیط مبتنی بر ابر قرار دارد، کار عوامل تهدید را از بسیاری جهات آسان کرده است. این به این دلیل است که آنها فقط باید یک آسیب پذیری را در یک نمونه از یک Hypervisor خاص هدف قرار دهند تا به کل شبکه دسترسی پیدا کنند.

او می‌گوید: «بازیگران تهدید می‌دانند که هدف قرار دادن این سطح با یک تیر می‌تواند به آنها اجازه دهد تا امتیازات خود را بالا ببرند و به همه چیز دسترسی داشته باشند. “اگر آنها بتوانند دسترسی داشته باشند، می توانند بدافزار را برای نفوذ به سطح هایپروایزر و ایجاد عفونت انبوه تحت فشار قرار دهند.”

نحوه محافظت از سیستم های VMware زمانی که نمی توانید پچ کنید

از آنجایی که آخرین حمله باج‌افزار ادامه دارد – با اپراتورهای آن که فایل‌ها را رمزگذاری می‌کنند و درخواست می‌کنند حدود 2 بیت کوین (یا 23000 دلار در زمان چاپ) ظرف سه روز پس از به خطر افتادن یا خطر انتشار داده‌های حساس تحویل داده شود، سازمان‌ها با نحوه حل مشکل اساسی دست و پنجه نرم می‌کنند. که چنین حمله گسترده ای را ایجاد می کند.

دن مایر، محقق تهدید در Stairwell خاطرنشان می کند که اصلاح یا به روز رسانی فوری هر سیستم آسیب پذیر ممکن است کاملاً واقع بینانه نباشد، ممکن است نیاز به پیاده سازی رویکردهای دیگر باشد. او می‌گوید: «حقیقت این است که همیشه سیستم‌های اصلاح‌نشده وجود دارند، چه به دلیل ریسک محاسبه‌شده توسط سازمان‌ها یا به دلیل محدودیت‌های منابع و زمان.»

خطر داشتن یک سیستم اصلاح نشده به خودی خود ممکن است با سایر اقدامات امنیتی کاهش یابد، مانند نظارت مستمر زیرساخت های سازمانی برای فعالیت های مخرب و آمادگی برای پاسخ سریع و بخش بندی مناطق حمله در صورت بروز مشکل.

برمک مفتاح، شریک موسس، خاطرنشان می کند: در واقع، سازمان ها باید بر اساس این فرض عمل کنند که جلوگیری از باج افزار “همیشه غیرممکن است” و بر روی قرار دادن ابزارهایی برای “کاهش دادن تاثیرات” تمرکز کنند، مانند طرح های بازیابی فاجعه و داده های تغییر یافته در زمینه. در شرکت سرمایه گذاری خطرپذیر امنیت سایبری Balistic Ventures.

با این حال، حمله مداوم VMware ESXi باج افزار مسئله دیگری را برجسته می کند که به ناتوانی ذاتی بسیاری از سازمان ها در انجام اقدامات پیشگیرانه لازم کمک می کند: شکاف مهارت و درآمد در سراسر جهان در حوزه امنیت فناوری اطلاعات.

او به دارک ریدینگ می گوید: «ما در کشورهایی که شرکت های ثروتمند هدف هستند، متخصصان فناوری اطلاعات کافی نداریم. در عین حال، بازیگران تهدید کننده در سرتاسر جهان وجود دارند که می‌توانند با استفاده از مهارت‌های خود برای اخاذی از دیگران، زندگی بهتری نسبت به کارهای قانونی امنیت سایبری داشته باشند.»

مایر به گزارش سازمان غیرانتفاعی امنیت سایبری بین المللی (ICS) استناد می کند2) که گفته می شود برای ایمن سازی مؤثر دارایی ها، نیروی کار امنیت سایبری به 3.4 میلیون کارگر امنیت سایبری نیاز دارد. مایر می‌گوید: «تا زمانی که این اتفاق نیفتد، ما باید آموزش این کارگران را افزایش دهیم، و در حالی که شکاف هنوز وجود دارد، به کسانی که مهارت‌ها را در سرتاسر دنیا دارند، ارزششان را بپردازیم، تا آنها بخشی از مشکل نباشند». .

داستان کامل را در سایت خواهر ما Dark Reading بخوانید.

سئو PBN | خبر های جدید سئو و هک و سرور