Es ist bekannt, dass Ransomware-Betreiber verschiedene Sicherheitslücken ausnutzen, insbesondere in Kampagnen gegen Unternehmen und Organisationen. Dies ist bei zwei Schwachstellen im VMWare ESXi-Produkt der Fall, in den Angriffen mindestens einer prominenten Ransomware-Bande enthalten.
Diese Angriffe sind mit der Gruppe dahinter verbunden die RansomExx Ransomware.
RansomExx wurde im November letzten Jahres von Kaspersky-Forschern analysiert, als sie auf Angriffe auf Linux-Systeme stießen. Das Team entdeckte eine ausführbare 64-Bit-ELF-Datei zum Verschlüsseln von Daten auf Linux-Computern.
Die Analyse ergab, dass die Ransomware viele Ähnlichkeiten mit einer zuvor bekannten Familie namens RansomExx aufweist, Dies beweist, dass die Ransomware einen Linux-Build erhalten hat. RansomExx richtet sich an große Unternehmen und gilt als "zielgerichteter Trojaner".
RansomExx-Betreiber verwenden VMWare-Fehler CVE-2019-5544 & CVE-2020-3992
Neue Forschungsergebnisse deuten darauf hin, dass RansomExx-Betreiber jetzt CVE-2019-5544 und verwenden CVE-2020-3992 in VMware ESXi. Dieses VMWare-Gerät ist ein Hypervisor, mit dem mehrere virtuelle Maschinen denselben Festplattenspeicher gemeinsam nutzen können. Interessanterweise, Wir haben im November über einen dieser beiden Fehler geschrieben, als das offizielle Sicherheitsbulletin veröffentlicht wurde. Die Sicherheitsanfälligkeit CVE-2020-3992 wurde in der OpenSLP-Funktion von VMware ESXi entdeckt.
ESXi ist ein Hypervisor, der Software zum Partitionieren von Prozessoren verwendet, Erinnerung, Lagerung, und Netzwerkressourcen in mehrere VMs (virtuelle Maschinen). Dieser Fehler wurde durch die Implementierung von OpenSLP in ESXi verursacht, Verursacht eine nachträgliche Nutzung (UAF) Problem. UAF-Schwachstellen resultieren normalerweise aus der falschen Nutzung des dynamischen Speichers während des Programmbetriebs. Genauer, Wenn ein Programm den Zeiger auf den Speicher nach dem Freigeben eines Speicherorts nicht löscht, Ein Angreifer kann den Fehler ausnutzen.
Wie für CVE-2019-5544, „Ein böswilliger Akteur mit Netzwerkzugriff auf den Port 427 Auf einem ESXi-Host oder einer beliebigen Horizon DaaS-Verwaltungs-Appliance kann möglicherweise der Heap des OpenSLP-Dienstes überschrieben werden, was zur Ausführung von Remotecode führt," VMWare erklärt in der Beratung.
Die beiden Fehler können einem Angreifer im selben Netzwerk helfen, böswillige SLP-Anforderungen an ein anfälliges ESXi-Gerät zu senden. Der Angreifer könnte dann die Kontrolle darüber erlangen.
Es gibt Hinweise darauf, dass die Ransomware-Bande von Babuk Locker auch Angriffe auf der Grundlage eines ähnlichen Szenarios ausführt. Jedoch, Diese Angriffe wurden noch nicht bestätigt.
Was sollten Systemadministratoren tun, um Angriffe zu vermeiden??
Wenn Ihr Unternehmen die VMWare ESXi-Geräte verwendet, Sie sollten die Patches, die die beiden Fehler beheben, sofort anwenden. Eine andere Möglichkeit, Exploits zu verhindern, besteht darin, die SLP-Unterstützung zu deaktivieren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: