Eksperter advarer om nye ESXiArgs ransomware-angreb ved hjælp af en opgraderet version, der gør det sværere at gendanne VMware ESXi virtuelle maskiner.
Det skriver Security Affairs og en række andre medier, efter at Bleeping Computer har fundet ud af, at bagmændene har forbedret krypteringsprocessen, så større mængder data krypteres. Det gør det meget sværere at gendanne de krypterede virtuelle maskiner.
CISA og FBI har udsendt en gendannelsesscript for at hjælpe de virksomheder, hvis servere blev kompromitteret som følge af udnyttelser af sårbarheder i ESXi-servere.
Det skriver The Register.
Sårbarheden stammer tilbage fra 2021, men kom på verdens læber i denne uge, efter at der blev observeret en kampagne med ransomware-angreb mod internetudsatte og sårbare ESXi-servere. Et angreb der er fulgt op med udbredelse af det, der har fået navnet ESXiArgs ransomware, og som trusselsaktørerne anvender til at kryptere VMware ESXi-servere.
VMware har i går opfordret sine kunder om at installere de seneste sikkerhedsopdateringer og deaktivere OpenSLP-tjenesten, efter at der er observeret en kampagne med ransomware-angreb mod internetudsatte og sårbare ESXi-servere.
Der er ikke tale om udnyttelse af en ny 0-dagssårbarhed, men en ældre sag fra februar 2021 (CVE-2021-21974), som ukendte trusselsaktører kan udnytte til at opnå muligheden for at fjernafvikle kode. Det er det, som trusselsaktørerne anvender til at kryptere VMware ESXi-servere.
Ved kryptering af filer bruger ransomwaren NTRUEncrypt (https://en.wikipedia.org/wiki/NTRUEncrypt) public-key krypteringsalgoritmen, der understøtter forskellige 'Parametersæt' som relaterer til forskellige sikkerhedsniveauer.
I øjeblikket indeholder RedAlert-datalækage sitet kun data for én organisation, hvilket indikerer, at ransomwaren er meget ny.
En sårbarhed i et virtuelt grafikkort giver applikationer i en virtuel maskine mulighed for at afvikle kode på den fysiske maskine, den kører på. Sårbarheden ligger i SVGA-enheden.
Fejlen findes i ESXi 6.5, Workstation 12.x og Fusion 8.x. Den er rettet i Workstation 12.5.7, Fusion 8.5.8 og med patchen ESXi650-201707101-SG til ESXi.
Ved samme lejlighed har VMware også rettet et par mindre alvorlige fejl i de samme produkter samt i vCenter Server 6.5.
Anbefaling
Opdater til en rettet version af de berørte produkter.