Ebattled VMware ESXi Hypervisor Flaw قابل بهره برداری به روش های بی شمار | دانش مرکز داده

تیم‌های امنیتی که برای ایمن کردن سازمان‌های خود در برابر آسیب‌پذیری تقریباً دو ساله در فناوری Hypervisor ESXi VMware که مهاجمان به طور ناگهانی شروع به بهره‌برداری انبوه از آن در هفته گذشته کردند، باید به همه میزبان‌های ESXi در محیط توجه کنند، نه فقط میزبان‌های قابل دسترسی به اینترنت.

این توصیه فروشنده امنیتی Bitdefender پس از تجزیه و تحلیل تهدید است و متوجه شد که مهاجمان می توانند از آن به طرق مختلف سوء استفاده کنند.

عیب دو ساله

مربوط: شکست: 3 مدیر ارشد VMware Pre-Broadcom را ترک کردند

آسیب‌پذیری مورد بحث، CVE-2021-21974، در اجرای VMware از یک پروتکل ارائه خدمات در ESXi به نام Open Service Location Protocol (OpenSLP) وجود دارد. این آسیب‌پذیری به مهاجمان احراز هویت نشده این امکان را می‌دهد تا از راه دور کدهای مخرب را بر روی سیستم‌های آسیب‌دیده بدون هیچ گونه تعامل کاربر اجرا کنند.

VMware این آسیب پذیری را در فوریه 2021 فاش کرد و در همان زمان یک پچ برای آن منتشر کرد. از آن زمان، مهاجمان آن را به شدت مورد هدف قرار داده اند و CVE-2021-29174 را به یکی از آسیب پذیرترین آسیب پذیری های سال 2021 و 2022 تبدیل کرده اند. در 3 فوریه، تیم واکنش اضطراری رایانه ای فرانسه در مورد عوامل بدی که از CVE-2021-2021-21974 برای توزیع یک ranomware سوء استفاده می کنند هشدار داد. گونه‌ای که باج‌افزار ESXiArgs در میزبان‌های ESXi در سراسر جهان نامیده می‌شود.

ماهیت گسترده این حملات، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را بر آن داشت تا یک اسکریپت بازیابی را منتشر کند که قربانیان ESXiArgs می توانستند از آن برای بازیابی سیستم های خود استفاده کنند.

مارتین زوگک، مدیر راه‌حل‌های فنی در Bitdefender، می‌گوید اگرچه بردار سازش اولیه ناشناخته است، اما یک نظریه رایج این است که از طریق بهره‌برداری مستقیم از طریق پورت 427 در معرض اینترنت است. خود VMware توصیه کرده است که اگر سازمان‌ها نمی‌توانند فوراً وصله کنند، باید دسترسی را مسدود کنند. به پورت 427

Zugec می‌گوید در حالی که این اقدام می‌تواند حریف را کند کند، خطر را به طور کامل از نقص حذف نمی‌کند، زیرا مهاجمان می‌توانند از این آسیب‌پذیری به روش‌های دیگری نیز سوء استفاده کنند. برای مثال، اگر یک سازمان پورت 427 را مسدود کند، یک مهاجم همچنان می‌تواند یکی از ماشین‌های مجازی در حال اجرا بر روی میزبان ESXi را از طریق هر آسیب‌پذیری موجود در معرض خطر قرار دهد.

او می‌گوید آن‌ها سپس می‌توانند از ماشین مجازی آسیب‌دیده فرار کنند تا از آسیب‌پذیری در OpenSLP سوء استفاده کنند و به میزبان دسترسی پیدا کنند.

راه های دیگر برای بهره برداری از نقص

Zugec خاطرنشان می کند: “عملگران تهدید می توانند از هر آسیب پذیری موجود برای به خطر انداختن یک ماشین مجازی استفاده کنند – چه مبتنی بر لینوکس باشد یا مبتنی بر ویندوز.”

او می‌گوید، یک عامل تهدید همچنین می‌تواند نسبتاً به راحتی در Dark Web دسترسی به یک ماشین مجازی آسیب‌دیده را خریداری کند و سعی کند کد OpenSLP از راه دور را در برابر هایپروایزر میزبان اجرا کند.

Zugec می‌گوید: «در صورت موفقیت، عامل تهدید می‌تواند نه تنها به میزبان هایپروایزر، بلکه به همه ماشین‌های دیگری که روی همان سرور کار می‌کنند نیز دسترسی داشته باشد. در این مورد، اکسپلویت OpenSLP به یک عامل تهدید اجازه می‌دهد تا دسترسی خود را افزایش دهد و به سمت ماشین‌های دیگر – بالقوه ارزشمندتر – حرکت کند.»

Zugec می گوید که بیت دیفندر تاکنون هیچ مدرکی مبنی بر سوء استفاده مهاجمان از آسیب پذیری VMware ESXi به این شیوه ندیده است. اما با توجه به تمرکز عمده روی بهره برداری مستقیم از طریق پورت 427، بیت دیفندر می خواست به مردم در مورد روش های دیگر برای سوء استفاده از این آسیب پذیری هشدار دهد. علاوه بر مسدود کردن دسترسی به پورت 427، VMware همچنین توصیه کرده است که سازمان هایی که نمی توانند CVE-2021-21974 را وصله کنند، به سادگی SLP را در صورت امکان غیرفعال کنند.

Shades of WannaCry

Bitdefender گفت که تحلیل‌هایش از آخرین حملاتی که CVE-2021-21974 را هدف قرار می‌دهند، نشان می‌دهد که عوامل تهدید در پشت آنها فرصت‌طلب هستند و چندان پیچیده نیستند. بسیاری از حملات ماهیت کاملاً خودکار به نظر می‌رسند، از اسکن اولیه برای سیستم‌های آسیب‌پذیر گرفته تا استقرار باج‌افزار.

Zugec خاطرنشان می کند: “ما می توانیم این را با WannaCry مقایسه کنیم.” “در حالی که این حملات می تواند به طیف وسیعی از ماشین ها برسد، تاثیر آن محدود است.”

او می‌گوید، اما عوامل تهدید پیچیده‌تر از نقص ESXi برای انجام عملیات بسیار بزرگ‌تر استفاده می‌کنند. به عنوان مثال، کارگزاران دسترسی اولیه می توانند یک پوسته وب راه دور و سرویس SLP را غیرفعال کنند تا دیگر عوامل تهدید نتوانند از همان نقص سوء استفاده کنند. آنها می توانند به سادگی در کمین بهترین فرصت برای کسب درآمد از دسترسی خود باشند. گزینه‌های بالقوه می‌تواند شامل سرقت داده، نظارت، و سرقت رمزنگاری شود.

برای مقابله کامل با خطر حمله سایبری که از vuln VMware سوء استفاده می کند، Bitdefender – مانند VMware و دیگران – توصیه می کند که سازمان ها فوراً این وصله را برای آن اعمال کنند.

این مقاله برای اولین بار در سایت خواهر ما، Dark Reading ظاهر شد.