Хипервайзорите VMware ESXi са мишена на нова вълна от атаки, предназначени за внедряване на софтуер за откуп в компрометирани системи.
„Изглежда, че тези кампании за атаки използват CVE-2021-21974, за който е налична кръпка от 23 февруари 2021 г.“, заяви екипът за реагиране при компютърни инциденти (CERT) на Франция в консултация в петък.
VMware, в свое собствено предупреждение, публикувано по това време, описа проблема като уязвимост на OpenSLP с препълване на купове, която може да доведе до изпълнение на произволен код.
„Злонамерен извършител, пребиваващ в същия мрежов сегмент като ESXi, който има достъп до порт 427, може да бъде в състояние да задейства проблема с препълването на купчината в услугата OpenSLP, което да доведе до отдалечено изпълнение на код“, отбеляза доставчикът на услуги за виртуализация.
Френският доставчик на облачни услуги OVHcloud заяви, че атаките се откриват в световен мащаб, като се обръща специално внимание на Европа. Има подозрения, че атаките са свързани с нов щам на ransomware, базиран на Rust, наречен Nevada, който се появи на сцената през декември 2022 г.
Други семейства рансъмуер, за които е известно, че са възприели Rust през последните месеци, включват BlackCat, Hive, Luna, Nokoyawa, RansomExx и Agenda.
„Хакерите канят както рускоезични, така и англоезични филиали да си сътрудничат с голям брой брокери за първоначален достъп (Initial Access Brokers – IAB) в [тъмната] мрежа“, заяви Resecurity миналия месец.
„Забележително е, че групата, която стои зад Nevada Ransomware, също купува компрометиран достъп сама, групата има специален екип за постексплоатация и за провеждане на мрежови прониквания в целите, които представляват интерес.“
Специалисти обаче съобщават, че бележките за откуп, наблюдавани при атаките, нямат сходство с Nevada ransomware, като добавя, че щамът се проследява под името ESXiArgs.
На потребителите се препоръчва да преминат към най-новата версия на ESXi, за да намалят потенциалните заплахи, както и да ограничат достъпа до услугата OpenSLP до доверени IP адреси.
