تیمهای امنیتی که برای ایمن کردن سازمانهای خود در برابر آسیبپذیری تقریباً دو ساله در فناوری Hypervisor ESXi VMware که مهاجمان به طور ناگهانی شروع به بهرهبرداری انبوه از آن در هفته گذشته کردند، باید به همه میزبانهای ESXi در محیط توجه کنند، نه فقط میزبانهای قابل دسترسی به اینترنت.
این توصیه فروشنده امنیتی Bitdefender پس از تجزیه و تحلیل تهدید است و متوجه شد که مهاجمان می توانند از آن به طرق مختلف سوء استفاده کنند.
عیب دو ساله
آسیبپذیری مورد بحث، CVE-2021-21974، در اجرای VMware از یک پروتکل ارائه خدمات در ESXi به نام Open Service Location Protocol (OpenSLP) وجود دارد. این آسیبپذیری به مهاجمان احراز هویت نشده این امکان را میدهد تا از راه دور کدهای مخرب را بر روی سیستمهای آسیبدیده بدون هیچ گونه تعامل کاربر اجرا کنند.
VMware این آسیب پذیری را در فوریه 2021 فاش کرد و در همان زمان یک پچ برای آن منتشر کرد. از آن زمان، مهاجمان آن را به شدت مورد هدف قرار داده اند و CVE-2021-29174 را به یکی از آسیب پذیرترین آسیب پذیری های سال 2021 و 2022 تبدیل کرده اند. در 3 فوریه، تیم واکنش اضطراری رایانه ای فرانسه در مورد عوامل بدی که از CVE-2021-2021-21974 برای توزیع یک ranomware سوء استفاده می کنند هشدار داد. گونهای که باجافزار ESXiArgs در میزبانهای ESXi در سراسر جهان نامیده میشود.
ماهیت گسترده این حملات، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را بر آن داشت تا یک اسکریپت بازیابی را منتشر کند که قربانیان ESXiArgs می توانستند از آن برای بازیابی سیستم های خود استفاده کنند.
مارتین زوگک، مدیر راهحلهای فنی در Bitdefender، میگوید اگرچه بردار سازش اولیه ناشناخته است، اما یک نظریه رایج این است که از طریق بهرهبرداری مستقیم از طریق پورت 427 در معرض اینترنت است. خود VMware توصیه کرده است که اگر سازمانها نمیتوانند فوراً وصله کنند، باید دسترسی را مسدود کنند. به پورت 427
Zugec میگوید در حالی که این اقدام میتواند حریف را کند کند، خطر را به طور کامل از نقص حذف نمیکند، زیرا مهاجمان میتوانند از این آسیبپذیری به روشهای دیگری نیز سوء استفاده کنند. برای مثال، اگر یک سازمان پورت 427 را مسدود کند، یک مهاجم همچنان میتواند یکی از ماشینهای مجازی در حال اجرا بر روی میزبان ESXi را از طریق هر آسیبپذیری موجود در معرض خطر قرار دهد.
او میگوید آنها سپس میتوانند از ماشین مجازی آسیبدیده فرار کنند تا از آسیبپذیری در OpenSLP سوء استفاده کنند و به میزبان دسترسی پیدا کنند.
راه های دیگر برای بهره برداری از نقص
Zugec خاطرنشان می کند: “عملگران تهدید می توانند از هر آسیب پذیری موجود برای به خطر انداختن یک ماشین مجازی استفاده کنند – چه مبتنی بر لینوکس باشد یا مبتنی بر ویندوز.”
او میگوید، یک عامل تهدید همچنین میتواند نسبتاً به راحتی در Dark Web دسترسی به یک ماشین مجازی آسیبدیده را خریداری کند و سعی کند کد OpenSLP از راه دور را در برابر هایپروایزر میزبان اجرا کند.
Zugec میگوید: «در صورت موفقیت، عامل تهدید میتواند نه تنها به میزبان هایپروایزر، بلکه به همه ماشینهای دیگری که روی همان سرور کار میکنند نیز دسترسی داشته باشد. در این مورد، اکسپلویت OpenSLP به یک عامل تهدید اجازه میدهد تا دسترسی خود را افزایش دهد و به سمت ماشینهای دیگر – بالقوه ارزشمندتر – حرکت کند.»
Zugec می گوید که بیت دیفندر تاکنون هیچ مدرکی مبنی بر سوء استفاده مهاجمان از آسیب پذیری VMware ESXi به این شیوه ندیده است. اما با توجه به تمرکز عمده روی بهره برداری مستقیم از طریق پورت 427، بیت دیفندر می خواست به مردم در مورد روش های دیگر برای سوء استفاده از این آسیب پذیری هشدار دهد. علاوه بر مسدود کردن دسترسی به پورت 427، VMware همچنین توصیه کرده است که سازمان هایی که نمی توانند CVE-2021-21974 را وصله کنند، به سادگی SLP را در صورت امکان غیرفعال کنند.
Shades of WannaCry
Bitdefender گفت که تحلیلهایش از آخرین حملاتی که CVE-2021-21974 را هدف قرار میدهند، نشان میدهد که عوامل تهدید در پشت آنها فرصتطلب هستند و چندان پیچیده نیستند. بسیاری از حملات ماهیت کاملاً خودکار به نظر میرسند، از اسکن اولیه برای سیستمهای آسیبپذیر گرفته تا استقرار باجافزار.
Zugec خاطرنشان می کند: “ما می توانیم این را با WannaCry مقایسه کنیم.” “در حالی که این حملات می تواند به طیف وسیعی از ماشین ها برسد، تاثیر آن محدود است.”
او میگوید، اما عوامل تهدید پیچیدهتر از نقص ESXi برای انجام عملیات بسیار بزرگتر استفاده میکنند. به عنوان مثال، کارگزاران دسترسی اولیه می توانند یک پوسته وب راه دور و سرویس SLP را غیرفعال کنند تا دیگر عوامل تهدید نتوانند از همان نقص سوء استفاده کنند. آنها می توانند به سادگی در کمین بهترین فرصت برای کسب درآمد از دسترسی خود باشند. گزینههای بالقوه میتواند شامل سرقت داده، نظارت، و سرقت رمزنگاری شود.
برای مقابله کامل با خطر حمله سایبری که از vuln VMware سوء استفاده می کند، Bitdefender – مانند VMware و دیگران – توصیه می کند که سازمان ها فوراً این وصله را برای آن اعمال کنند.
این مقاله برای اولین بار در سایت خواهر ما، Dark Reading ظاهر شد.