이전 버전의 VMWare ESXi 하이퍼바이저를 사용하는 조직은 취약점 패치를 통해 최신 상태를 유지하는 것에 대한 어려운 교훈을 배우고 있습니다. 글로벌 랜섬웨어 공격으로 VMware에서 "EOGS(일반 지원 종료) 및/또는 상당히 오래된 제품"으로 간주한 내용은 계속됩니다.

그러나 공격은 또한 가상 환경을 잠그는 데 더 넓은 문제를 지적한다고 연구원들은 말합니다.

VM웨어 성명서에서 확인 6월 XNUMX일 랜섬웨어 공격 첫 번째 플래그 3월 XNUMX일 프랑스 컴퓨터 비상 대응 팀(CERT-FR)이 XNUMX월 XNUMX일에 발표한 .

실제로 "ESXiArgs"라고 불리는 새로운 랜섬웨어 변종을 전파하는 공격의 주요 손상 경로는 2년 된 RCE(원격 코드 실행) 보안 취약점에 대한 익스플로잇이라고 이미 믿어졌습니다.CVE-2021-21974), 하이퍼바이저의 OpenSLP(Open Service Location Protocol) 서비스에 영향을 미칩니다.

“이를 염두에 두고 고객에게 최신 지원 릴리스로 업그레이드할 것을 권장합니다. vSphere 구성 요소 현재 알려진 취약점을 해결하기 위해”라고 VMware는 성명서에서 고객에게 말했습니다.

회사는 또한 고객에게 OpenSLP 서비스 비활성화 ESXi에서 VMware는 문제를 완화하기 위해 2021년부터 ESXi 7.0 U2c 및 ESXi 8.0 GA와 함께 배송된 프로젝트 버전에서 기본적으로 수행하기 시작했습니다.

십자선에서 다시 패치되지 않은 시스템

VMware의 확인은 아직 알려지지 않은 공격자의 공격을 의미합니다. 지금까지 보안 전문가들은 캐나다, 프랑스, ​​핀란드, 독일, 대만, 미국에 있는 수천 대의 서버가 손상된 것은 모든 조직이 분명히 더 잘해야 할 일, 즉 취약한 IT 자산을 패치함으로써 피할 수 있다고 말했습니다.

랜섬웨어 보호 회사인 BullWall의 CTO인 Jan Lovmand는 "이는 많은 조직이 내부 시스템과 애플리케이션을 패치하는 데 걸리는 시간을 보여줍니다. 이는 범죄자들이 계속 침입하는 많은 이유 중 하나일 뿐입니다."라고 말합니다.

보안 노출 관리 회사인 Tenable의 EMEA 기술 이사이자 보안 전략가인 Bernard Montel은 익스플로잇이 가능한 알려진 취약점이 종종 패치되지 않은 상태로 남아 있다는 것은 "슬픈 사실"이라고 말했습니다..

"이로 인해 조직은 성공적으로 침투할 수 없는 엄청난 위험에 처하게 됩니다."라고 그는 Dark Reading에 말했습니다. "이 경우 VMWare 취약점으로 인해 활성 악용을 고려할 때 위협이 엄청납니다."

그러나 취약한 시스템을 패치하지 않은 채로 두는 위험을 감안할 때 조직이 시스템을 업데이트해야 할 필요성과 업데이트에 필요한 다운타임이 비즈니스에 미칠 수 있는 영향의 균형을 맞추는 것은 복잡한 문제로 남아 있다고 Montel은 인정합니다.

"많은 조직의 문제는 가동 시간을 평가하는 것과 패치를 위해 오프라인으로 전환하는 것입니다."라고 그는 말합니다. "이 경우 계산은 정말 간단할 수 없습니다. 몇 분의 불편 또는 며칠의 중단입니다."

가상화는 본질적으로 위험합니다

다른 보안 전문가들은 진행 중인 ESXi 공격이 패치 문제만큼 간단하다고 생각하지 않습니다. 이 경우 패치가 부족하면 일부 조직의 문제가 해결될 수 있지만 일반적으로 가상화된 환경을 보호하는 것은 그렇게 간단하지 않습니다.

문제의 사실은 플랫폼으로서의 VMware와 특히 ESXi 사이버 보안 교육 회사인 Cybrary의 위협 인텔리전스 선임 이사인 David Maynor는 보안 관점에서 관리하기 복잡한 제품이므로 사이버 범죄자의 손쉬운 표적이 된다고 말합니다. 물론, 여러 랜섬웨어 캠페인 지난 XNUMX년 동안에만 ESXi를 표적으로 삼았으며, 정통한 공격자들이 그들의 성공 가능성을 인식하고 있음을 보여주었습니다.

공격자는 ESXi 환경의 가상화된 특성으로 추가 보너스를 얻습니다. 즉, 여러 VM(가상 머신)을 제어/액세스할 수 있는 하나의 ESXi 하이퍼바이저에 침입하면 추가 작업 없이 손상되었습니다.”라고 Maynor는 말합니다.

실제로 모든 클라우드 기반 환경의 중심에 있는 이 가상화는 여러 면에서 위협 행위자의 작업을 더 쉽게 만들었습니다. Montel은 말합니다. 전체 네트워크에 대한 액세스 권한을 얻으려면 특정 하이퍼바이저의 한 인스턴스에서 하나의 취약점만 대상으로 하면 되기 때문입니다.

"공격자는 하나의 화살로 이 수준을 목표로 삼으면 권한을 높이고 모든 것에 대한 액세스 권한을 부여할 수 있다는 것을 알고 있습니다."라고 그는 말합니다. "액세스 권한을 얻을 수 있는 경우 푸시 멀웨어 하이퍼바이저 수준에 침투하여 대량 감염을 유발합니다.”

패치할 수 없을 때 VMware 시스템을 보호하는 방법

최신 랜섬웨어 공격이 지속됨에 따라 운영자는 파일을 암호화하고 약 2비트코인(또는 보도 시점 기준 23,000달러)을 손상 후 XNUMX일 이내에 전달하거나 민감한 데이터의 공개 위험 — 조직은 이러한 만연한 공격을 생성하는 근본적인 문제를 해결하는 방법을 고심합니다.

취약한 시스템을 즉시 패치하거나 업데이트하는 것은 완전히 현실적이지 않을 수 있으며 다른 접근 방식을 구현해야 할 수도 있다고 Stairwell의 위협 연구원인 Dan Mayer는 말합니다. "사실은 조직이 감수한 계산된 위험이나 리소스 및 시간 제약으로 인해 항상 패치되지 않은 시스템이 있을 것입니다."라고 그는 말합니다.

패치되지 않은 시스템 자체의 위험은 악의적인 활동에 대해 엔터프라이즈 인프라를 지속적으로 모니터링하고 문제가 발생할 경우 신속하게 대응하고 공격 영역을 세분화하는 것과 같은 다른 보안 조치를 통해 완화될 수 있습니다.

실제로 조직은 랜섬웨어를 방지하는 것이 "거의 불가능하다"는 가정하에 조치를 취하고 "재해 복구 계획 및 컨텍스트 전환 데이터와 같은 영향을 줄이기 위한" 도구를 배치하는 데 집중해야 한다고 창립 파트너인 Barmak Meftah는 말합니다. 사이버 보안 벤처 캐피털 회사인 Ballistic Ventures에서.

그러나 진행 중인 VMware ESXi 랜섬웨어 공격은 많은 조직이 필요한 예방 조치를 취할 수 없는 본질적인 무능력에 기여하는 또 다른 문제를 강조합니다. 바로 IT 보안 영역에서 전 세계적으로 기술과 소득 격차입니다.

"부유한 기업이 표적이 되는 국가에는 숙련된 IT 전문가가 충분하지 않습니다."라고 그는 Dark Reading에 말했습니다. "동시에 합법적인 사이버 보안 작업을 수행하는 것보다 자신의 기술을 활용하여 다른 사람으로부터 돈을 갈취하여 더 나은 삶을 살 수 있는 위협 행위자가 전 세계에 있습니다."

메이어 인용 보고서 국제 사이버 보안 비영리 단체 (ICS²) 자산을 효과적으로 보호하기 위해 사이버 보안 인력은 3.4만 명의 사이버 보안 인력이 필요합니다. 그렇게 될 때까지 "우리는 이러한 근로자에 ​​대한 교육을 강화해야 합니다. 격차가 여전히 존재하는 동안 전 세계의 기술을 보유한 사람들에게 가치 있는 수준의 비용을 지불하여 그들이 문제의 일부가 되지 않도록 해야 합니다."라고 Mayer는 말합니다. .

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cloud/ongoing-vmware-esxi-ransomware-attack-virtualization-risks