CISA, ABD Federal Sivil Yürütme Şubesi (FCEB) ajanslarına sunucularını fidye yazılımı saldırılarında sömürülen bir VMware ESXI kimlik doğrulama bypass kırılganlığına karşı güvence altına almasını emretti.
Broadcom iştiraki VMware, 25 Haziran'da ESXI 8.0 U3'ün piyasaya sürülmesiyle Microsoft Güvenlik Araştırmacıları tarafından keşfedilen bu kusuru (CVE-2024-37085) düzeltti.
CVE-2024-37085, saldırganların 'ESX yöneticilerinin' grubuna yeni bir kullanıcı eklemesine izin verir-varsayılan olarak mevcut değil, ancak ESXI hipervisor üzerinde yüksek ayrıcalıklar kazandıktan sonra eklenebilir-bu da otomatik olarak tam idari ayrıcalıklar atanacaktır.
Başarılı sömürü kullanıcı etkileşimi ve yüksek ayrıcalıkların çekilmesini gerektirse de ve VMware savunmasızlığı orta-şiddet olarak derecelendirmiş olsa da, Microsoft Pazartesi günü birkaç fidye yazılımı çetelerinin, alan adına katılan hipervizörlerdeki tam yönetici ayrıcalıklarına yükselmek için bundan yararlandığını açıkladı.
Yönetici izinleri kazandıktan sonra, VM'lerden hassas veriler çalırlar, kurbanların ağlarında yanal olarak hareket ederler ve daha sonra ESXI hipervizörünün dosya sistemini şifreleyerek kesintilere neden olur ve iş operasyonlarına neden olurlar.
Şimdiye kadar, CVE-2024-37085, Fırtına-0506, Storm-1175, Octo Tempest ve Manatee Tempest'i Akira ve Black Basta Ransomware'i dağıtmak için izlenen fidye yazılımı operatörleri tarafından kullanıldı.
Microsoft'un raporunu takiben CISA, 'bilinen sömürülen güvenlik açıklarına' güvenlik açığı ekledi ve tehdit aktörlerinin saldırılarda kullandığı bir uyarı görevi gördü.
Kasım 2021'de yayınlanan bağlayıcı operasyonel direktife (BOD 22-01) göre, Federal Sivil Yürütme Şube Ajansları (FCEB) ajansları, sistemlerini devam eden CVE-2024-37085 sömürüsüne karşı güvence altına almak için 20 Ağustos'a kadar üç haftaya sahiptir.
Bu direktif yalnızca federal kurumlar için geçerli olsa da, Siber Güvenlik Ajansı tüm kuruluşları, ağlarını hedefleyebilecek kusurları ve fidye yazılımı saldırılarını düzeltmeye öncelik vermeye şiddetle çağırdı.
Cisa, "Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır."
Fidye yazılımı operasyonları yıllarca kurbanlarının ESXI Sanal Makinelerini (VM) hedeflemeye odaklandı, özellikle kurbanlar bunları hassas verileri depolamak ve kritik uygulamalara ev sahipliği yapmak için kullanmaya başladıktan sonra.
Bununla birlikte, şimdiye kadar, ESXI'daki (CVE-2024-37085 gibi) belirli güvenlik açıklarından yararlanmak yerine VMS'yi şifrelemek için tasarlanmış Linux Dolapları kullandılar, ancak bunu yapmak mağdurların hipervizörlerine erişmek için daha hızlı bir yol sağlayabilir.
OneBlood'un fidye yazılımı saldırısında şifrelenmiş sanal makineleri
Microsoft: Fidye Yazılımı Çeteleri Saldırılarda VMware ESXI AUTPY BYPASS
Yeni oynatma fidye yazılımı linux sürümü hedefleri vmware esxi vms
Sexi fidye yazılımı APT Inc'e yeniden markalar, VMware ESXI saldırılarına devam ediyor
RansomHub Fidye Yazılımı Hedefleri VMware ESXI VMS'nin Linux sürümü
Kaynak: Bleeping Computer