Chiến dịch ransomware mới đang khai thác lỗ hổng VMware nhắm mục tiêu đến các máy chủ ESXi

Các hệ thống ảo hóa VMware ESXi đang là mục tiêu của một chiến dịch tấn công mới nhằm triển khai phần mềm ransomware trên các hệ thống bị xâm nhập.

Nhóm ứng cứu khẩn cấp máy tính (Computer Emergency Response Team - CERT) của Pháp cho biết “các cuộc tấn công này dường như đang khai thác CVE-2021-21974, lỗ hổng đã có bản vá từ ngày 23 tháng 2 năm 2021”.

Trong một cảnh báo được phát hành vào thời điểm đó, VMware cho biết lỗ hổng liên quan đến lỗi tràn bộ đệm OpenSLP, có thể dẫn đến việc thực thi mã tùy ý.

Nhà cung cấp dịch vụ ảo hóa lưu ý rằng: “Một tác nhân độc hại trong cùng một dải mạng (network segment) với ESXi có quyền truy cập vào cổng 427 có thể kích hoạt sự cố tràn bộ nhớ trong dịch vụ OpenSLP dẫn đến thực thi mã từ xa”.

Nhà cung cấp dịch vụ cloud của Pháp, OVHcloud cho biết các cuộc tấn công được phát hiện trên toàn cầu, tập trung nhiều nhất ở châu Âu, và bị nghi ngờ là có liên quan đến Nevada, một họ ransomware mới dựa trên Rust được phát hiện vào tháng 12 năm 2022.

Một số họ ransomware khác đã phát hiện cũng sử dụng Rust bao gồm BlackCat, Hive, Luna, Nokoyawa, RansomExx và Agenda.

Vào tháng trước, Resecurity cho biết "các tác nhân đe dọa đang cộng tác với một số lượng lớn những kẻ môi giới truy cập ban đầu (IAB) trong các ‘dark web’".

“Những kẻ đứng sau Nevada Ransomware cũng đang mua quyền truy cập bị xâm phạm, chúng có một nhóm chuyên đảm nhận việc hậu khai thác và tiến hành xâm nhập mạng vào các mục tiêu quan tâm sau khi giành được truy cập ban đầu vào mạng”.

Tuy nhiên, Bleeping Computer cho biết rằng các thông báo đòi tiền chuộc được phát hiện trong các cuộc tấn công không có điểm tương đồng với ransomware Nevada, chủng này đang được theo dõi dưới tên ESXiArgs.

Người dùng được khuyến nghị nâng cấp lên phiên bản ESXi mới nhất cũng như hạn chế quyền truy cập vào dịch vụ OpenSLP đối với các địa chỉ IP đáng tin cậy để giảm thiểu các mối đe dọa tiềm ẩn.

Nguồn: thehackernews.com.