Van ransomware-operators is bekend dat ze misbruik maken van verschillende kwetsbaarheden, vooral in campagnes tegen ondernemingen en organisaties. Dat is het geval met twee kwetsbaarheden in het product VMWare ESXi, opgenomen in de aanvallen van ten minste één prominente ransomwarebende.
Deze aanvallen zijn gekoppeld aan de groep erachter de RansomExx ransomware.
RansomExx werd in november vorig jaar door Kaspersky-onderzoekers geanalyseerd toen ze aanvallen tegen Linux-systemen tegenkwamen. Het team ontdekte een 64-bits ELF-uitvoerbaar bestand dat is ontworpen om gegevens op Linux-draaiende machines te versleutelen.
De analyse toonde aan dat de ransomware veel overeenkomsten deelde met een eerder bekende familie genaamd RansomExx, waaruit blijkt dat de ransomware een Linux-build heeft ontvangen. RansomExx richt zich op grote bedrijven en wordt beschouwd als "een zeer gerichte Trojan".
RansomExx-operators gebruiken VMWare-bugs CVE-2019-5544 & CVE-2020-3992
Nieuw onderzoek suggereert nu dat RansomExx-operators nu CVE-2019-5544 en CVE-2020-3992 in VMware ESXi. Dit VMWare-apparaat is een hypervisor waarmee meerdere virtuele machines dezelfde opslag op de harde schijf kunnen delen. Interessant genoeg, we schreven in november over een van deze twee tekortkomingen, toen het officiële beveiligingsbulletin openbaar werd gemaakt. De kwetsbaarheid CVE-2020-3992 werd ontdekt in de OpenSLP-functie van VMware ESXi.
ESXi is een hypervisor die software gebruikt om processors te partitioneren, geheugen, opslagruimte, en netwerkbronnen in meerdere VM's (virtuele machines). Deze fout werd veroorzaakt door de implementatie van OpenSLP in ESXi, waardoor een use-after-free (UAF) kwestie. UAF-kwetsbaarheden komen doorgaans voort uit het onjuiste gebruik van dynamisch geheugen tijdens de werking van een programma. Specifieker, Als een programma de wijzer naar het geheugen niet wist na het vrijmaken van een geheugenlocatie, een aanvaller kan de bug misbruiken.
Wat betreft CVE-2019-5544, “Een kwaadwillende actor met netwerktoegang tot de poort 427 op een ESXi-host of op een Horizon DaaS-beheerapparaat kan mogelijk de heap van de OpenSLP-service overschrijven, wat resulteert in uitvoering van externe code," VMWare uitgelegd in het advies.
De twee fouten kunnen een aanvaller op hetzelfde netwerk helpen om kwaadaardige SLP-verzoeken naar een kwetsbaar ESXi-apparaat te sturen. De aanvaller kan er dan controle over krijgen.
Er zijn aanwijzingen dat de Babuk Locker-ransomwarebende ook aanvallen uitvoert op basis van een vergelijkbaar scenario. Echter, deze aanvallen zijn nog niet bevestigd.
Wat moeten sysadmins doen om aanvallen te voorkomen?
Als uw bedrijf de VMWare ESXi-apparaten gebruikt, u moet de pleisters aanbrengen om de twee gebreken onmiddellijk aan te pakken. Een andere manier om exploits te voorkomen, is door SLP-ondersteuning uit te schakelen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: