شعار زيفيرنت

يسلط هجوم VMware ESXi Ransomware المستمر الضوء على مخاطر المحاكاة الافتراضية الكامنة

التاريخ:

المؤسسات التي تستخدم إصدارات أقدم من برامج Hypervisors VMWare ESXi تتعلم درسًا صعبًا حول البقاء على اطلاع دائم مع تصحيح الثغرات الأمنية ، كهجوم عالمي لبرامج الفدية يستمر ما يعتبره برنامج VMware "نهاية الدعم العام (EOGS) و / أو المنتجات القديمة بشكل كبير".

ومع ذلك ، فإن الهجوم يشير أيضًا إلى مشاكل أوسع في تأمين البيئات الافتراضية ، كما يقول الباحثون.

في إم وير وأكد في بيان 6 فبراير أن هجوم انتزاع الفدية تم وضع علامة عليه لأول مرة من قبل فريق الاستجابة للطوارئ الحاسوبية الفرنسي (CERT-FR) في 3 فبراير لا يستغل عيبًا غير معروف أو "ثغرات يوم الصفر" ، ولكنه بالأحرى نقاط الضعف التي تم تحديدها مسبقًا والتي تم تصحيحها بالفعل من قبل البائع.

في الواقع ، كان يُعتقد بالفعل أن الطريقة الرئيسية للتسوية في هجوم ينشر سلالة جديدة من برنامج الفدية يُطلق عليها اسم "ESXiArgs" هو استغلال لثغرة أمنية لتنفيذ التعليمات البرمجية عن بُعد (RCE) عمرها عامين (CVE-2021-21974) ، مما يؤثر على خدمة بروتوكول موقع الخدمة المفتوح (OpenSLP) في برنامج Hypervisor.

"مع وضع ذلك في الاعتبار ، ننصح العملاء بالترقية إلى أحدث الإصدارات المدعومة المتاحة من مكونات vSphere لمعالجة الثغرات المعروفة حاليًا "، قال VMware للعملاء في البيان.

كما أوصت الشركة العملاء تعطيل خدمة OpenSLP في ESXi ، بدأ برنامج VMware في القيام به افتراضيًا في الإصدارات المشحونة من المشروع بدءًا من عام 2021 مع ESXi 7.0 U2c و ESXi 8.0 GA ، للتخفيف من المشكلة.

أنظمة غير مسبوقة مرة أخرى في مرمى البصر

تأكيد VMware يعني أن الهجوم من قبل الجناة غير المعروفين حتى الآن حتى الآن قال خبراء أمنيون إن آلاف الخوادم التي تعرضت للخطر في كندا وفرنسا وفنلندا وألمانيا وتايوان والولايات المتحدة ربما تم تجنبها من خلال شيء من الواضح أن جميع المؤسسات بحاجة إلى القيام به بشكل أفضل - إصلاح أصول تكنولوجيا المعلومات المعرضة للخطر.

ويشير جان لوفماند ، مدير التكنولوجيا في شركة BullWall لحماية برامج الفدية ، "هذا يوضح فقط المدة التي تستغرقها العديد من المؤسسات للالتفاف على الأنظمة والتطبيقات الداخلية ، وهو مجرد واحد من العديد من الأسباب التي تجعل المجرمين يواصلون إيجاد طريقهم".

من "الحقيقة المحزنة" أن الثغرات الأمنية المعروفة مع وجود ثغرة متاحة غالبًا ما تُترك دون إصلاح ، كما يتفق برنارد مونتيل ، المدير الفني لمنطقة أوروبا والشرق الأوسط وإفريقيا والاستراتيجي الأمني ​​بشركة Tenable لإدارة التعرض للأمن.

يقول دارك ريدينغ: "هذا يعرض المؤسسات لخطر لا يُصدق من اختراقها بنجاح". "في هذه الحالة ، مع ثغرة ... VMWare ، يكون التهديد هائلاً بالنظر إلى الاستغلال النشط."

ومع ذلك ، حتى مع الأخذ في الاعتبار مخاطر ترك الأنظمة الضعيفة دون إصلاح ، فإنها تظل مشكلة معقدة بالنسبة للمؤسسات لتحقيق التوازن بين الحاجة إلى تحديث الأنظمة مع تأثير وقت التوقف المطلوب للقيام بذلك على الأعمال التجارية ، كما تقر مونتيل.

يقول: "تكمن المشكلة بالنسبة للعديد من المؤسسات في تقييم الجهوزية ، مقابل أخذ شيء ما في وضع عدم الاتصال لإصلاحه". "في هذه الحالة ، لا يمكن أن يكون الحساب أكثر وضوحًا - بضع دقائق من الإزعاج ، أو أيام من الاضطراب."

الافتراضية هي بطبيعتها خطر

لا يعتقد خبراء أمنيون آخرون أن هجوم ESXi المستمر مباشر مثل مشكلة التصحيح. على الرغم من أن نقص التصحيح قد يحل المشكلة بالنسبة لبعض المؤسسات في هذه الحالة ، إلا أن الأمر ليس بهذه البساطة عندما يتعلق الأمر بحماية البيئات الافتراضية بشكل عام ، كما لاحظوا.

حقيقة الأمر هي أن برنامج VMware كمنصة و ESXi على وجه الخصوص هي منتجات معقدة يجب إدارتها من منظور أمني ، وبالتالي فهي أهداف سهلة لمجرمي الإنترنت ، كما يقول ديفيد ماينور ، المدير الأول لذكاء التهديدات في شركة التدريب على الأمن السيبراني Cybrary. بالفعل، حملات رانسومواري متعددة استهدفت ESXi في العام الماضي وحده ، مما يدل على أن المهاجمين الأذكياء يدركون إمكاناتهم للنجاح.

يحصل المهاجمون على مكافأة إضافية مع الطبيعة الافتراضية لبيئة ESXi التي إذا اقتحموا جهاز ESXi Hypervisor واحد ، والذي يمكنه التحكم / الوصول إلى أجهزة افتراضية متعددة (VMs) ، "يمكن أن يستضيف الكثير من الأنظمة الأخرى التي يمكن أن تكون أيضًا للخطر دون أي عمل إضافي ، "يقول ماينور.

في الواقع ، فإن هذه المحاكاة الافتراضية الموجودة في قلب كل بيئة قائمة على السحابة جعلت مهمة الجهات الفاعلة في التهديد أسهل من نواح كثيرة ، كما يلاحظ مونتيل. هذا لأنه يتعين عليهم فقط استهداف ثغرة أمنية واحدة في مثيل واحد لبرنامج Hypervisor معين للوصول إلى شبكة كاملة.

يقول: "يعرف ممثلو التهديد أن استهداف هذا المستوى بسهم واحد يمكن أن يسمح لهم برفع امتيازاتهم ومنح الوصول إلى كل شيء". "إذا كانوا قادرين على الوصول ، يمكنهم ذلك دفع البرامج الضارة للتسلل إلى مستوى برنامج hypervisor والتسبب في عدوى جماعية ".

كيفية حماية أنظمة VMware عندما لا يمكنك التصحيح

مع استمرار هجوم رانسوم وير - حيث يقوم المشغلون بتشفير الملفات والمطالبة بحوالي 2 بيتكوين (أو 23,000 دولار في وقت النشر) ليتم تسليمها في غضون ثلاثة أيام من التسوية أو تخاطر بنشر بيانات حساسة - تتصارع المنظمات مع كيفية حل المشكلة الأساسية التي تخلق مثل هذا الهجوم المتفشي.

قد لا يكون تصحيح أو تحديث أي أنظمة ضعيفة على الفور أمرًا واقعيًا تمامًا ، وقد يلزم تطبيق أساليب أخرى ، كما يشير دان ماير ، باحث التهديد في Stairwell. "الحقيقة هي أنه ستكون هناك دائمًا أنظمة غير مسبوقة ، إما بسبب المخاطر المحسوبة التي تتعرض لها المنظمات أو بسبب قيود الموارد والوقت" ، كما يقول.

قد يتم التخفيف من مخاطر وجود نظام غير مصحح في حد ذاته من خلال تدابير أمنية أخرى ، مثل المراقبة المستمرة للبنية التحتية للمؤسسة بحثًا عن نشاط ضار والاستعداد للاستجابة بسرعة وتقسيم مناطق الهجوم إذا ظهرت مشكلة.

في الواقع ، تحتاج المؤسسات إلى العمل على افتراض أن منع برامج الفدية "أمر مستحيل" ، والتركيز على وضع أدوات "لتقليل التأثير ، مثل خطط التعافي من الكوارث وبيانات تبديل السياق" ، كما يشير بارماك مفتاح ، الشريك المؤسس في شركة Ballistic Ventures للأمن السيبراني.

ومع ذلك ، فإن هجوم VMware ESXi ransomware المستمر يسلط الضوء على مشكلة أخرى تساهم في عدم القدرة المتأصلة للعديد من المؤسسات على اتخاذ التدابير الوقائية اللازمة: فجوات المهارات والدخل في جميع أنحاء العالم في مجال أمن تكنولوجيا المعلومات ، كما يقول ماير.

قال لـ Dark Reading: "ليس لدينا عدد كافٍ من المتخصصين المهرة في مجال تكنولوجيا المعلومات في الدول التي تستهدفها الشركات الغنية". "في الوقت نفسه ، هناك جهات تهدد في جميع أنحاء العالم قادرة على كسب عيش أفضل بالاستفادة من مهاراتهم لابتزاز الأموال من الآخرين أكثر مما لو قاموا بعمل مشروع في مجال الأمن السيبراني."

يستشهد ماير تقرير من قبل منظمة الأمن السيبراني الدولية غير الربحية (ICS2) التي قيل أنها لتأمين الأصول بشكل فعال ، تحتاج القوى العاملة في مجال الأمن السيبراني إلى 3.4 مليون عامل في مجال الأمن السيبراني. إلى أن يحدث ذلك ، "نحتاج إلى تكثيف تدريب هؤلاء العمال ، وبينما لا تزال الفجوة قائمة ، ندفع لمن لديهم المهارات في جميع أنحاء العالم ما يستحقونه ، حتى لا يتحولوا إلى جزء من المشكلة" ، كما يقول ماير .

بقعة_صورة

أحدث المعلومات الاستخباراتية

بقعة_صورة