Hjem > Cyber ​​Nyheder > RansomExx Gang udnytter VMWare Bugs CVE-2019-5544, CVE-2020-3992
CYBER NEWS

RansomExx-banden udnytter VMWare-fejl CVE-2019-5544, CVE-2020-3992

RansomExx-banden udnytter VMWare-fejl CVE-2019-5544, CVE-2020-3992Ransomware-operatører er kendt for at udnytte forskellige sårbarheder, især i kampagner mod virksomheder og organisationer. Sådan er tilfældet med to sårbarheder i VMWare ESXi-produktet, inkluderet i angrebene fra mindst en fremtrædende ransomware-bande.

Disse angreb er knyttet til gruppen bagved RansomExx ransomware.
RansomExx blev analyseret i november sidste år af Kaspersky-forskere, da de stødte på angreb rettet mod Linux-systemer. Holdet opdagede en 64-bit ELF-eksekverbar designet til at kryptere data på Linux-kørende maskiner.

Analysen viste, at ransomware delte mange ligheder med en tidligere kendt familie kaldet RansomExx, bevis for, at ransomware modtog en Linux-build. RansomExx er målrettet mod store virksomheder og betragtes som "en meget målrettet trojan."

RansomExx-operatører bruger VMWare-bugs CVE-2019-5544 & CVE-2020-3992

Ny forskning antyder nu, at RansomExx-operatører nu bruger CVE-2019-5544 og CVE-2020-3992 i VMware ESXi. Denne VMWare-enhed er en hypervisor, der tillader flere virtuelle maskiner at dele den samme harddisklager. Interessant nok, vi skrev om en af ​​disse to fejl i november, da den officielle sikkerhedsbulletin blev offentliggjort. CVE-2020-3992-sårbarheden blev opdaget i OpenSLP-funktionen i VMware ESXi.




ESXi er en hypervisor, der bruger software til partitioneringsprocessorer, hukommelse, opbevaring, og netværksressourcer til flere virtuelle computere (virtuelle maskiner). Denne fejl var forårsaget af implementeringen af ​​OpenSLP i ESXi, forårsager en brug-efter-fri (UAF) problem. UAF-sårbarheder stammer typisk fra forkert brug af dynamisk hukommelse under et programs drift. Mere specifikt, Hvis et program ikke rydder markøren til hukommelsen efter frigørelse af en hukommelsesplacering, en angriber kan udnytte fejlen.

Hvad angår CVE-2019-5544, “En ondsindet aktør med netværksadgang til port 427 på en ESXi-vært eller på ethvert Horizon DaaS-styringsapparat kan muligvis overskrive bunken af ​​OpenSLP-tjenesten, hvilket resulterer i fjernudførelse af kode," VMWare forklaret i den rådgivende.

De to fejl kunne hjælpe en hacker på det samme netværk til at sende ondsindede SLP-anmodninger til en sårbar ESXi-enhed. Angriberen kunne derefter få kontrol over det.

Der er tegn på, at Babuk Locker-ransomware-banden også udfører angreb baseret på et lignende scenario. Men, disse angreb er endnu ikke blevet bekræftet.

Hvad skal sysadminer gøre for at undgå angreb?

Hvis din virksomhed bruger VMWare ESXi-enheder, du skal straks anvende plasterne, der adresserer de to fejl. En anden måde at forhindre udnyttelse på er at deaktivere SLP-understøttelse.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig