Operadores de ransomware são conhecidos por explorar várias vulnerabilidades, especialmente em campanhas contra empresas e organizações. Esse é o caso de duas vulnerabilidades no produto VMWare ESXi, incluídos nos ataques de pelo menos uma gangue de ransomware proeminente.
Esses ataques estão ligados ao grupo por trás o ransomware RansomExx.
RansomExx foi analisado em novembro do ano passado por pesquisadores da Kaspersky quando eles encontraram ataques contra sistemas Linux. A equipe descobriu um executável ELF de 64 bits projetado para criptografar dados em máquinas com Linux.
A análise mostrou que o ransomware compartilhava muitas semelhanças com uma família anteriormente conhecida chamada RansomExx, provando que o ransomware recebeu uma versão Linux. RansomExx tem como alvo grandes corporações e é considerado “um cavalo de Tróia altamente direcionado”.
Operadores RansomExx estão usando bugs VMWare CVE-2019-5544 & CVE-2020-3992
Uma nova pesquisa sugere que os operadores RansomExx agora estão utilizando CVE-2019-5544 e CVE-2020-3992 em VMware ESXi. Este dispositivo VMWare é um hipervisor que permite que várias máquinas virtuais compartilhem o mesmo armazenamento no disco rígido. Interessantemente suficiente, escrevemos sobre uma dessas duas falhas em novembro, quando o boletim oficial de segurança foi tornado público. A vulnerabilidade CVE-2020-3992 foi descoberta no recurso OpenSLP do VMware ESXi.
ESXi é um hipervisor que utiliza software para particionar processadores, memória, armazenamento, e recursos de rede em várias VMs (máquinas virtuais). Esta falha foi causada pela implementação do OpenSLP no ESXi, causando um uso pós-livre (UAF) questão. Vulnerabilidades de UAF normalmente resultam da utilização incorreta de memória dinâmica durante a operação de um programa. Mais especificamente, Se um programa não limpar o ponteiro para a memória após liberar um local da memória, um invasor pode explorar o bug.
Quanto a CVE-2019-5544, “Um agente malicioso com acesso de rede à porta 427 em um host ESXi ou em qualquer dispositivo de gerenciamento Horizon DaaS pode ser capaz de sobrescrever o heap do serviço OpenSLP, resultando na execução remota de código,” VMWare explicado no consultivo.
As duas falhas podem ajudar um invasor na mesma rede a enviar solicitações SLP maliciosas para um dispositivo ESXi vulnerável. O invasor pode então obter controle sobre ele.
Há indícios de que a gangue de ransomware Babuk Locker também está realizando ataques com base em um cenário semelhante. Contudo, esses ataques ainda não foram confirmados.
O que os administradores de sistemas devem fazer para evitar quaisquer ataques?
Se sua empresa estiver utilizando dispositivos VMWare ESXi, você deve aplicar os patches que abordam as duas falhas imediatamente. Outra maneira de prevenir exploits é desabilitar o suporte SLP.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: