.
A fabricante de hipervisor VMware alertou que os invasores estão usando vulnerabilidades divulgadas anteriormente em seu hipervisor ESXi e componentes para implantar ransomware.
A empresa acredita que as vulnerabilidades exploradas não são falhas de dia zero, o que significa que os invasores estão explorando bugs descobertos anteriormente no hipervisor. Em outras palavras, os ataques exploram instâncias do hipervisor que não foram atualizadas ou não são mais suportadas.
Além disso: a computação em nuvem domina. Mas a segurança é agora o maior desafio
“Queríamos abordar os ataques de ransomware ‘ESXiArgs’ relatados recentemente, bem como fornecer algumas orientações sobre as ações que os clientes preocupados devem tomar para se protegerem”, disse o centro de resposta de segurança da VMware na segunda-feira.
“A VMware não encontrou evidências que sugiram que uma vulnerabilidade desconhecida (0 dia) esteja sendo usada para propagar o ransomware usado nesses ataques recentes.”
A empresa observa que a maioria dos relatórios afirma que as instâncias atacadas atingiram o fim do suporte ou são produtos significativamente desatualizados.
Ele está reiterando uma solução alternativa fornecida em dezembro para os clientes desativarem o serviço SLP no VMware ESXi depois que as vulnerabilidades do OpenSLP que afetam o ESXi foram divulgadas.
A equipe de resposta a emergências de computadores da França (CERT) alertou na semana passada que tomou conhecimento de campanhas de ataque direcionadas a hipervisores ESXi para implantar ransomware em 3 de fevereiro. servidor. Ele também observa que o código de exploração está disponível publicamente desde pelo menos maio de 2021.
O CERT France recomenda enfaticamente que os administradores isolem um servidor afetado, reinstale o hipervisor, aplique todos os patches, desabilite serviços desnecessários como SLP e bloqueie o acesso aos serviços administrativos por meio de um firewall.
Especificamente, recomenda os seguintes cursos de ação:
- Isole o servidor afetado
- Efetue uma análise dos sistemas de forma a detetar qualquer sinal de comprometimento
- Reinstale o hipervisor em uma versão suportada pelo editor (ESXi 7.x ou ESXi 8.x)
- Aplique todos os patches de segurança e siga os futuros avisos de segurança do fornecedor
- Desabilitar serviços desnecessários no hipervisor
- Bloqueie o acesso aos vários serviços de administração, seja através de um firewall dedicado ou através do firewall integrado no hipervisor, e implemente uma rede de administração local, bem como uma capacidade de administração remota, se necessário
O BleepingComputer relata que os invasores por trás do ransomware ESXiArgs o usam para criptografar arquivos .vmxf, .vmx, .vmdk, .vmsd e .nvra em servidores ESXi comprometidos.
.
