Στην κατάχρηση των τρωτών σημείων προχώρησε μια μεγάλη συμμορία ransomware η οποία αποφάσισε να εκμεταλλευτεί τις ευπάθειες στο προϊόν VMWare ESXi που αναπτύσσει εικονικές μηχανές σε εταιρικά περιβάλλοντα με σκοπό την κρυπτογράφηση των εικονικών τους σκληρών δίσκων.
Τα τρωτά σημεία του συστήματος CVE-2019-5544 και CVE-2020-3992, επηρεάζουν το πρωτόκολλο Service Location Protocol (SLP), που περιλαμβάνεται στο VMware ESXi και χρησιμοποιείται από τις συσκευές του ίδιου δικτύου για να αναγνωρίζει η μία την άλλη.
Τα ESXi instances τα οποία αναφέρονται συνήθως στον server VMWare vCenter, ακόμα και αν ο εισβολέας δεν καταφέρει να τον θέσει σε κίνδυνο του επιτρέπει να στέλνει κακόβουλα αιτήματα SLP σε μια συσκευή ESXi και να την ελέγχει.
Την ευθύνη των επιθέσεων που έγιναν πέρυσι σε κρυπτογραφημένους εικονικούς σκληρούς δίσκους, ανέλαβε η συμμορία RansomExx. Η ομάδα εκμεταλλεύτηκε το τρωτό σημείο εισόδου σε μια συσκευή σε εταιρικό δίκτυο με σκοπό να επιτεθεί στα τοπικά ESXi instances, προκαλώντας αναστάτωση στην εταιρεία.
Την ευθύνη των επιθέσεων φαίνεται να αναλαμβάνει μόνο η συμμορία RansomExx (γνωστή και ως Defray777) ενώ οι διαχειριστές συστημάτων σε εταιρείες που βασίζονται στο VMWare ESXi ως μέτρο προστασίας συνιστούν απενεργοποίηση της υποστήριξης SLP καθώς και να γίνονται οι απαραίτητες ενημερώσεις κώδικα ESXi.
[SecNews]