VMWare ESXi hipervizörlerinin eski sürümlerini kullanan kuruluşlar, güvenlik açığı düzeltme eki ile güncel kalma konusunda zor bir ders alıyor. küresel bir fidye yazılımı saldırısı olarak VMware'in "Genel Desteğin Sonu (EOGS) ve/veya önemli ölçüde güncelliğini kaybetmiş ürünler" olarak nitelendirdiği durum devam ediyor.

Ancak araştırmacılar, saldırının sanal ortamların kilitlenmesinde daha büyük sorunlara da işaret ettiğini söylüyor.

VMware bir açıklamada doğrulandı 6 Şubat'ta bir fidye yazılımı saldırısı gerçekleşti ilk işaretlenen Fransız Bilgisayar Acil Durum Müdahale Ekibi (CERT-FR) tarafından 3 Şubat'ta yapılan saldırı, bilinmeyen veya "sıfır gün" kusurundan değil, daha önceden tanımlanmış ve satıcı tarafından zaten yamalanmış olan güvenlik açıklarından yararlanıyor.

Aslında, "ESXiArgs" olarak adlandırılan yeni bir fidye yazılımı türünü yayan bir saldırıda uzlaşmanın ana yolunun, 2 yıllık bir uzaktan kod yürütme (RCE) güvenlik açığına yönelik bir istismar olduğuna zaten inanılıyordu (CVE-2021-21974), hipervizörün Açık Hizmet Konum Protokolü (OpenSLP) hizmetini etkiler.

"Bunu göz önünde bulundurarak, müşterilerimize mevcut en son desteklenen sürümlere yükseltmelerini tavsiye ediyoruz. vSphere bileşenleri VMware, müşterilerine yaptığı açıklamada şu anda bilinen güvenlik açıklarını gidermek için "dedi.

Şirket ayrıca müşterilere şunları tavsiye etti: OpenSLP hizmetini devre dışı bırakın ESXi'de, sorunu hafifletmek için VMware'in 2021'den itibaren ESXi 7.0 U2c ve ESXi 8.0 GA ile birlikte gönderilen projenin sürümlerinde varsayılan olarak yapmaya başladığı bir şey.

Yamasız Sistemler Yeniden Hedefte

VMware'in onayı, henüz bilinmeyen failler tarafından yapılan saldırının şimdiye kadar Güvenlik uzmanları, Kanada, Fransa, Finlandiya, Almanya, Tayvan ve ABD'deki binlerce sunucunun güvenliğinin ihlal edilmesinin, tüm kuruluşların açıkça daha iyi yapması gereken bir şeyle - savunmasız BT varlıklarını yamalamak - önlenmiş olabileceğini söyledi.

Fidye yazılımı koruma firması BullWall'un CTO'su Jan Lovmand, "Bu, birçok kuruluşun dahili sistemlere ve uygulamalara yama uygulamak için ne kadar zaman harcadığını gösteriyor; bu da suçluların yolunu bulmaya devam etmesinin birçok nedeninden sadece biri" diyor.

Güvenlik açığı yönetimi firması Tenable'ın EMEA teknik direktörü ve güvenlik stratejisti Bernard Montel, açıklardan yararlanma olanağı bulunan bilinen güvenlik açıklarının genellikle yama yapılmadan bırakılmasının "acı bir gerçek" olduğu konusunda hemfikir.

Dark Reading'e "Bu, organizasyonları başarılı bir şekilde sızma konusunda inanılmaz bir tehlikeye sokuyor" diyor. "Bu durumda, VMWare güvenlik açığıyla birlikte, aktif istismar göz önüne alındığında tehdit çok büyük."

Ancak Montel, savunmasız sistemleri yamasız bırakmanın riskleri göz önüne alındığında bile, kuruluşların sistemleri güncelleme ihtiyacı ile bunu yapmak için gereken kesinti süresinin işletme üzerinde yaratabileceği etkiyi dengelemenin karmaşık bir sorun olmaya devam ettiğini kabul ediyor.

"Birçok kuruluş için sorun, bir şeyi yama için çevrimdışına almak yerine çalışma süresini değerlendirmektir" diyor. "Bu durumda hesaplama bundan daha basit olamazdı; birkaç dakikalık rahatsızlık veya günlerce sürecek kesinti."

Sanallaştırma Doğal Olarak Bir Risktir

Diğer güvenlik uzmanları devam eden ESXi saldırısının yama sorunu kadar basit olduğuna inanmıyor. Her ne kadar yama yapılmaması bu durumda bazı kuruluşlar için sorunu çözse de, genel olarak sanallaştırılmış ortamların korunması söz konusu olduğunda durumun bu kadar basit olmadığını belirtiyorlar.

Gerçek şu ki, bir platform olarak VMware ve Özellikle ESXi Siber güvenlik eğitim firması Cybrary'nin tehdit istihbaratı kıdemli direktörü David Maynor, bunların güvenlik açısından yönetilmesi karmaşık ürünler olduğunu ve bu nedenle siber suçlular için kolay hedefler olduğunu söylüyor. Aslında, birden fazla fidye yazılımı kampanyası yalnızca geçen yıl ESXi'yi hedef aldı ve bu da bilinçli saldırganların başarı potansiyellerini fark ettiğini gösterdi.

Saldırganlar, ESXi ortamının sanallaştırılmış doğası sayesinde ek bir avantaj elde eder; birden fazla sanal makineyi (VM) kontrol edebilen/bu makinelere erişime sahip olan bir ESXi hipervizörüne girerlerse, "aynı zamanda saldırıya uğrayabilecek birçok başka sistemi de barındırıyor olabilir". herhangi bir ek çalışma yapılmadan uzlaşıldı," diyor Maynor.

Montel, aslında her bulut tabanlı ortamın kalbinde yer alan bu sanallaştırmanın, tehdit aktörlerinin işini birçok açıdan kolaylaştırdığını belirtiyor. Bunun nedeni, tüm ağa erişim sağlamak için belirli bir hipervizörün yalnızca bir örneğindeki bir güvenlik açığını hedeflemeleri gerektiğidir.

"Tehdit aktörleri, bu seviyeyi tek okla hedeflemenin ayrıcalıklarını yükseltmelerine ve her şeye erişim izni vermelerine olanak sağlayabileceğini biliyor" diyor. "Eğer erişim sağlayabilirlerse, kötü amaçlı yazılım gönderme hipervizör seviyesine sızmak ve kitlesel enfeksiyona neden olmak için.

Yama Yapamadığınızda VMware Sistemlerini Nasıl Korursunuz?

En son fidye yazılımı saldırısı devam ederken, operatörleri dosyaları şifreliyor ve ele geçirildikten sonraki üç gün içinde yaklaşık 2 Bitcoin'in (ya da haberin yayınlandığı tarihte 23,000 dolar) teslim edilmesini talep ediyor ya da hassas verilerin açığa çıkması riski — Kuruluşlar, bu kadar yaygın bir saldırıyı yaratan temel sorunun nasıl çözüleceğiyle boğuşuyor.

Stairwell'de tehdit araştırmacısı olan Dan Mayer, savunmasız sistemlere anında yama uygulanması veya güncellenmesinin tamamen gerçekçi olmayabileceğini, başka yaklaşımların uygulanması gerekebileceğini belirtiyor. "Gerçek şu ki, ya kuruluşların aldığı hesaplanmış riskler ya da kaynak ve zaman kısıtlamaları nedeniyle her zaman yama yapılmamış sistemler olacaktır" diyor.

Kendi başına yamalı bir sisteme sahip olma riski, kurumsal altyapının kötü amaçlı faaliyetlere karşı sürekli olarak izlenmesi ve hızlı bir şekilde yanıt vermeye ve bir sorun ortaya çıkması durumunda saldırı alanlarını bölümlere ayırmaya hazır olmak gibi diğer güvenlik önlemleriyle azaltılabilir.

Kurucu ortak Barmak Meftah, kuruluşların aslında fidye yazılımlarını önlemenin "neredeyse imkansız olduğu" varsayımıyla hareket etmeleri ve "felaket kurtarma planları ve bağlam değiştirmeli veriler gibi etkiyi azaltmak için" araçları uygulamaya koymaları gerektiğini belirtiyor. Siber güvenlik risk sermayesi şirketi Ballistic Ventures'ta.

Ancak devam eden VMware ESXi fidye yazılımı saldırısı, birçok kuruluşun gerekli önleyici tedbirleri alma konusundaki doğal yetersizliğine katkıda bulunan başka bir sorunu vurguluyor: Mayer, BT güvenliği alanında dünya çapındaki beceri ve gelir boşlukları.

Dark Reading'e "Zengin şirketlerin hedef olduğu ülkelerde yeterince vasıflı BT uzmanımız yok" diyor. "Aynı zamanda, dünya çapında, yasal siber güvenlik çalışmaları yerine başkalarından zorla para sızdırma becerilerini kullanarak daha iyi bir yaşam elde edebilen tehdit aktörleri var."

Mayer alıntı yapıyor bir rapor uluslararası siber güvenlik kar amacı gütmeyen kuruluşu tarafından (ICS²) Varlıkların etkili bir şekilde güvence altına alınması için siber güvenlik iş gücünün 3.4 milyon siber güvenlik çalışanına ihtiyacı olduğu söyleniyor. Bu gerçekleşene kadar, "bu işçilerin eğitimini hızlandırmamız gerekiyor ve aradaki fark hala mevcutken, dünyanın her yerindeki becerilere sahip olanlara değerlerinin karşılığını ödemeliyiz, böylece onlar da sorunun bir parçası olmaya yönelmesinler" diyor Mayer. .

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/cloud/ongoing-vmware-esxi-ransomware-attack-virtualization-risks