ランサムウェアのオペレーターは、さまざまな脆弱性を悪用することが知られています, 特に企業や組織に対するキャンペーンで. これは、VMWareESXi製品に2つの脆弱性がある場合です。, 少なくとも1人の著名なランサムウェアギャングの攻撃に含まれている.
これらの攻撃は背後のグループにリンクされています RansomExxランサムウェア.
RansomExxは、昨年11月にKasperskyの研究者が、Linuxシステムを標的とした攻撃に遭遇したときに分析されました。. チームは、Linuxを実行しているマシン上のデータを暗号化するように設計された64ビットELF実行可能ファイルを発見しました.
分析の結果、ランサムウェアは、RansomExxと呼ばれる以前から知られているファミリと多くの類似点を共有していることがわかりました。, ランサムウェアがLinuxビルドを受け取ったことを証明する. RansomExxは大企業を標的にしており、「高度に標的化されたトロイの木馬」と見なされています。
RansomExxオペレーターはVMWareバグCVE-2019-5544を使用しています & CVE-2020-3992
新しい調査によると、RansomExxオペレーターはCVE-2019-5544と CVE-2020-3992 VMwareESXiの場合. このVMWareデバイスは、複数の仮想マシンが同じハードドライブストレージを共有できるようにするハイパーバイザーです。. 大変興味深いことに, 11月にこれら2つの欠陥の1つについて書きました, 公式セキュリティ速報が公開されたとき. CVE-2020-3992の脆弱性は、VMwareESXiのOpenSLP機能で発見されました.
ESXiは、ソフトウェアを利用してプロセッサをパーティション分割するハイパーバイザーです。, メモリー, 保管所, およびネットワークリソースを複数のVMに (仮想マシン). この欠陥は、ESXiでのOpenSLPの実装が原因でした。, 解放後の使用を引き起こす (UAF) 問題. UAFの脆弱性は通常、プログラムの操作中に動的メモリが誤って使用されることに起因します。. すなわち, プログラムがメモリ位置を解放した後、メモリへのポインタをクリアしない場合, 攻撃者はバグを悪用する可能性があります.
CVE-2019-5544は, 「ポートへのネットワークアクセスを持つ悪意のある攻撃者 427 ESXiホストまたは任意のHorizonDaaS管理アプライアンスで、OpenSLPサービスのヒープを上書きして、リモートでコードが実行される可能性があります,」 VMWareの説明 アドバイザリーで.
2つの欠陥は、同じネットワーク上の攻撃者が脆弱なESXiデバイスに悪意のあるSLP要求を送信するのを助ける可能性があります. その後、攻撃者はそれを制御できるようになります.
BabukLockerランサムウェアギャングも同様のシナリオに基づいて攻撃を実行している兆候があります. でも, これらの攻撃はまだ確認されていません.
攻撃を回避するためにシステム管理者は何をすべきか?
会社がVMWareESXiデバイスを利用している場合, 2つの欠陥に対処するパッチをすぐに適用する必要があります. エクスプロイトを防ぐ別の方法は、SLPサポートを無効にすることです。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: