Хипервайзорите VMware ESXi са мишена на нова вълна от атаки, предназначени за внедряване на софтуер за откуп в компрометирани системи.

„Изглежда, че тези кампании за атаки използват CVE-2021-21974, за който е налична кръпка от 23 февруари 2021 г.“, заяви екипът за реагиране при компютърни инциденти (CERT) на Франция в консултация в петък.

VMware, в свое собствено предупреждение, публикувано по това време, описа проблема като уязвимост на OpenSLP с препълване на купове, която може да доведе до изпълнение на произволен код.

„Злонамерен извършител, пребиваващ в същия мрежов сегмент като ESXi, който има достъп до порт 427, може да бъде в състояние да задейства проблема с препълването на купчината в услугата OpenSLP, което да доведе до отдалечено изпълнение на код“, отбеляза доставчикът на услуги за виртуализация.

Френският доставчик на облачни услуги OVHcloud заяви, че атаките се откриват в световен мащаб, като се обръща специално внимание на Европа. Има подозрения, че атаките са свързани с нов щам на ransomware, базиран на Rust, наречен Nevada, който се появи на сцената през декември 2022 г.

Други семейства рансъмуер, за които е известно, че са възприели Rust през последните месеци, включват BlackCat, Hive, Luna, Nokoyawa, RansomExx и Agenda.

„Хакерите канят както рускоезични, така и англоезични филиали да си сътрудничат с голям брой брокери за първоначален достъп (Initial Access Brokers – IAB) в [тъмната] мрежа“, заяви Resecurity миналия месец.

„Забележително е, че групата, която стои зад Nevada Ransomware, също купува компрометиран достъп сама, групата има специален екип за постексплоатация и за провеждане на мрежови прониквания в целите, които представляват интерес.“

Специалисти обаче съобщават, че бележките за откуп, наблюдавани при атаките, нямат сходство с Nevada ransomware, като добавя, че щамът се проследява под името ESXiArgs.

На потребителите се препоръчва да преминат към най-новата версия на ESXi, за да намалят потенциалните заплахи, както и да ограничат достъпа до услугата OpenSLP до доверени IP адреси.

 

Източник: The Hacker News

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
21/01/2025

Нарушаване на сигурността н...

Базираният в Калифорния гигант в областта...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!