Platforma Labyrinth Deception: ochrona poza ataki ESXiArgs

Ataki ransomware ESXiArgs są znane z tego, że ich celem są serwery VMware ESXi na całym świecie, co jest obecnie jednym z najbardziej kluczowych zagadnień cyberbezpieczeństwa.

 

Ponieważ ogromna liczba firm na całym świecie powszechnie korzysta z produktów VMware, krytyczne luki w nich zawsze budzą duże obawy i zainteresowanie branży bezpieczeństwa. Świadczy o tym cieszące się złą sławą oprogramowanie ransomware ESXiArgs, które wykorzystuje podatność CVE-2021-21974 (heap-overflow) i dotknęło wiele podatnych hostów ESXi.

 

W celu złagodzenia tego problemu, firma VMware udostępniła poprawki i poradnik VMware Advisory VMSA-2021-0002. CVE-2021-21974 nie jest jedyną luką, opisaną w tym dokumencie - drugą jest CVE-2021-21972 (RCE). Warto nadmienić, że te dwie krytyczne luki pojawiły się niemal równocześnie. Ze względu na większy rozgłos w mediach, CVE-2021-21974 otrzymała więcej uwagi, chociaż CVE-2021-21972 ma wyższą ocenę CVSS według nvd.nist.gov: 8.8 (wysoki) versus 9.8 (krytyczny).[1]

 

Badania FortiGuard Labs[2] pokazują, że luka CVE-2021-21972 może być również wykorzystana do dystrybucji oprogramowania ransomware. Ten fakt oraz wyższa ocena CVSS sprawiają, że wykrywanie tego typu ataków jest koniecznością i ma wysoki priorytet dla każdego użytkownika VMware.

 

Platforma Labyrinth Deception symuluje węzły VMware i obecność podatności związanych z tym CVE. Operator systemu otrzymuje bardzo dokładny alert i niezbędny margines czasu, zanim osoba atakująca znajdzie rzeczywiste hosty tego typu. Dzięki Labyrinth możliwe jest stworzenie wielu wabików sieciowych z podatnością CVE-2021-21972 w ciągu kilku minut, przy minimalnym nakładzie zasobów obliczeniowych i czasu pracowników działu bezpieczeństwa infrastruktury.
 

Tydzień temu amerykańska Agencja ds. Bezpieczeństwa Cyberprzestrzeni i Infrastruktury (CISA) opublikowała skrypt do odzyskiwania serwerów VMware ESXi, zaszyfrowanych w wyniku niedawnych, powszechnych ataków ransomware ESXiArgs. CISA zachęca administratorów do przejrzenia skryptu przed jego użyciem, aby zrozumieć jak działa i uniknąć możliwych komplikacji. Chociaż skrypt nie powinien powodować żadnych problemów, BleepingComputer zdecydowanie zaleca tworzenie kopii zapasowych przed próbą odzyskania danych.[3]

 

Kilka dni temu, po udostępnieniu przez amerykańską Agencję ds. Bezpieczeństwa Cyberprzestrzeni i Infrastruktury (CISA) narzędzia deszyfrującego dla poszkodowanych ofiar, w celu odzyskiwania danych po atakach ransomware ESXiArgs, cyberprzestępcy powrócili ze zaktualizowaną wersją, która szyfruje więcej danych. Od pojawienia się tego ransomware na początku lutego br. zostało zaatakowanych ponad 3800 unikalnych hostów. Większość infekcji występuje we Francji, Stanach Zjednoczonych, Niemczech, Kanadzie, Wielkiej Brytanii, Holandii, Finlandii, Turcji, Polsce i na Tajwanie (patrz wykres poniżej).[4]