.
Getty Images
Uma explosão de ataques cibernéticos está infectando servidores em todo o mundo com ransomware incapacitante, explorando uma vulnerabilidade que foi corrigida há dois anos, foi amplamente divulgado na segunda-feira.
Os hacks exploram uma falha no ESXi, um hypervisor que a VMware vende para hosts em nuvem e outras empresas de grande escala para consolidar seus recursos de hardware. O ESXi é conhecido como hipervisor bare-metal ou tipo 1, o que significa que é essencialmente seu próprio sistema operacional executado diretamente no hardware do servidor. Por outro lado, os servidores que executam a classe mais familiar de hipervisores Tipo 2, como o VirtualBox da VMware, são executados como aplicativos em cima de um sistema operacional host. Os hipervisores Tipo 2 executam máquinas virtuais que hospedam seus próprios sistemas operacionais convidados, como Windows, Linux ou, menos comumente, macOS.
Digite ESXiArgs
Avisos publicados recentemente por equipes de resposta a emergências de computadores (CERT) na França, Itália e Áustria relatam uma campanha “massiva” que começou o mais tardar na sexta-feira e ganhou força desde então. Citando os resultados de uma pesquisa no Censo, funcionários do CERT na Áustria disseram que, até domingo, havia mais de 3.200 servidores infectados, incluindo oito naquele país.
“Como os servidores ESXi fornecem um grande número de sistemas como máquinas virtuais (VM), pode-se esperar um múltiplo desse número de sistemas individuais afetados”, escreveram os funcionários.
A vulnerabilidade que está sendo explorada para infectar os servidores é CVE-2021-21974, que decorre de um estouro de buffer baseado em heap no OpenSLP, um padrão aberto de descoberta de rede incorporado ao ESXi. Quando a VMware corrigiu a vulnerabilidade em fevereiro de 2021, a empresa alertou que poderia ser explorada por um agente mal-intencionado com acesso ao mesmo segmento de rede pela porta 427. A vulnerabilidade tinha uma classificação de gravidade de 8,8 em 10 possíveis. Prova de conceito o código de exploração e as instruções para usá-lo foram disponibilizados alguns meses depois.
No fim de semana, o host de nuvem francês OVH disse que não tem a capacidade de corrigir os servidores vulneráveis configurados por seus clientes.
“O ESXi OS só pode ser instalado em servidores bare metal”, escreveu Julien Levrard, diretor de segurança da informação da OVH. “Lançamos várias iniciativas para identificar servidores vulneráveis, com base em nossos logs de automação para detectar a instalação do ESXI por nossos clientes. Temos meios de ação limitados, pois não temos acesso lógico aos servidores de nossos clientes.”
Enquanto isso, a empresa bloqueou o acesso à porta 427 e também está notificando todos os clientes que identifica como servidores vulneráveis.
Levrard disse que o ransomware instalado nos ataques criptografa arquivos de máquinas virtuais, incluindo aqueles que terminam em .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram e .vmem. O malware então tenta desbloquear os arquivos encerrando um processo conhecido como VMX. A função não está funcionando como seus desenvolvedores pretendiam, fazendo com que os arquivos permaneçam bloqueados.
Os pesquisadores apelidaram a campanha e o ransomware por trás dela de ESXiArgs porque o malware cria um arquivo adicional com a extensão “.args” após criptografar um documento. O arquivo .args armazena dados usados para descriptografar dados criptografados.
Pesquisadores da YoreGroup Tech Team, Enes Sonmez e Ahmet Aykac, relataram que o processo de criptografia do ESXiArgs pode cometer erros que permitem que as vítimas restaurem os dados criptografados. Levrard, da OVH, disse que sua equipe testou o processo de restauração descrito pelos pesquisadores e obteve sucesso em cerca de dois terços das tentativas.
Qualquer pessoa que dependa do ESXi deve parar o que estiver fazendo e verificar se os patches para CVE-2021-21974 foram instalados. Os avisos vinculados acima também fornecem mais orientações para bloquear servidores que usam esse hypervisor.
.
