Aktualni ransomware napadi preko VMware ESXI hipervisora

Aktualni ransomware napadi preko VMware ESXI hipervisora

Ranjivost VMware ESXi hipervizora u zadnje vrijeme više puta je iskorištena kako bi se izvodili ESXiArgs i Nevada ransomware napadi.

Za neupućene, VMware ESXi hipervizor je virtualizacijsko rješenje enterprise klase koje je razvio VMware. Hipervizor je program koji kontrolira fizičke resurse računalnog stroja i distribuira te resurse između niza različitih operativnih sustava, što im omogućuje istodobni rad.  

Ranjivosti na spomenutom hipervizoru koristile su se za izvršavanje proizvoljnog programskog koda, odnosno izvođenje ESXiArgs i Nevada ransomware napada. Kako navodi nacionalni CERT, najčešće se radi o CVE-2021-21974 ranjivosti.

OpenSLP (port 427), koji je najčešće razlog kompromitacije, korišten u ESXi hipervizoru sadrži ranjivost za izvođenje heap-overflow napada (inačice 7.0 prije ESXi70U1c-17325551, 6.7 prije ESXi670-202102401-SG, 6.5 prije ESXi650-202102101-SG) putem kojeg napadač dobiva mogućnost izvršavanja proizvoljnog programskog kôda. 

Zahvaćene verzije je potrebno što prije sigurnosno zakrpati kako ne bi došlo do ransomware napada. Nacionalni CERT uvijek naglašava da je najbolja zaštita od ransomware napada redovita izrada sigurnosnih kopija podataka koje je potrebno držati izdvojeno od samih sustava.