Gli operatori di ransomware sono noti per sfruttare varie vulnerabilità, soprattutto nelle campagne contro imprese e organizzazioni. Questo è il caso di due vulnerabilità nel prodotto VMWare ESXi, incluso negli attacchi di almeno un importante gruppo di ransomware.
Questi attacchi sono legati al gruppo dietro il ransomware RansomExx.
RansomExx è stato analizzato nel novembre dello scorso anno dai ricercatori di Kaspersky quando si sono imbattuti in attacchi mirati ai sistemi Linux. Il team ha scoperto un eseguibile ELF a 64 bit progettato per crittografare i dati su macchine con sistema operativo Linux.
L'analisi ha mostrato che il ransomware condivideva molte somiglianze con una famiglia precedentemente nota chiamata RansomExx, dimostrando che il ransomware ha ricevuto una build Linux. RansomExx prende di mira le grandi aziende ed è considerato "un Trojan altamente mirato".
Gli operatori di RansomExx utilizzano i bug VMWare CVE-2019-5544 & CVE-2020-3992
Una nuova ricerca ora suggerisce che gli operatori di RansomExx stanno ora utilizzando CVE-2019-5544 e CVE-2020-3992 in VMware ESXi. Questo dispositivo VMWare è un hypervisor che consente a più macchine virtuali di condividere lo stesso spazio di archiviazione del disco rigido. È interessante notare che, abbiamo scritto di uno di questi due difetti a novembre, quando il bollettino ufficiale sulla sicurezza è stato reso pubblico. La vulnerabilità CVE-2020-3992 è stata scoperta nella funzione OpenSLP di VMware ESXi.
ESXi è un hypervisor che utilizza il software per partizionare i processori, memoria, Conservazione, e risorse di rete in più VM (macchine virtuali). Questo difetto è stato causato dall'implementazione di OpenSLP in ESXi, provocando un utilizzo dopo-libero (UAF) problema. Le vulnerabilità UAF derivano in genere dall'utilizzo errato della memoria dinamica durante il funzionamento di un programma. Più specificamente, Se un programma non cancella il puntatore alla memoria dopo aver liberato una posizione di memoria, un utente malintenzionato può sfruttare il bug.
Per quanto riguarda CVE-2019-5544, “Un malintenzionato con accesso di rete alla porta 427 su un host ESXi o su qualsiasi appliance di gestione DaaS Horizon potrebbe essere in grado di sovrascrivere l'heap del servizio OpenSLP con conseguente esecuzione di codice in modalità remota," VMWare spiegato nell'advisory.
I due difetti potrebbero aiutare un utente malintenzionato sulla stessa rete a inviare richieste SLP dannose a un dispositivo ESXi vulnerabile. L'attaccante potrebbe quindi ottenere il controllo su di esso.
Ci sono indicazioni che anche la banda di ransomware Babuk Locker stia effettuando attacchi basati su uno scenario simile. Tuttavia, questi attacchi non sono stati ancora confermati.
Cosa dovrebbero fare gli amministratori di sistema per evitare eventuali attacchi?
Se la tua azienda utilizza i dispositivi VMWare ESXi, dovresti applicare le patch che affrontano i due difetti immediatamente. Un altro modo per prevenire gli exploit è disabilitare il supporto SLP.