באג תוכנה לא מתוקן הקיים בשרתי ESXi של VMWare מנוצל על ידי האקרים במטרה להפיץ תוכנות כופר ברחבי העולם.
שרתי VMWare לא מתוקנים מנוצלים לרעה על ידי האקרים
פגיעות תוכנה בת שנתיים הקיימת בשרתי ה-ESXi של VMWare הפכה למטרה של מסע פריצה נרחב. מטרת המתקפה היא לפרוס את ESXiArgs, גרסה חדשה של תוכנת כופר. על פי ההערכות, מאות ארגונים נפגעו.
צוות תגובת החירום הממוחשב של צרפת (CERT) פרסם הצהרה ב-3 בפברואר, שבה נדון אופי ההתקפות. בתוך ה פוסט CERT, נכתב כי הקמפיינים "נראה שניצלו את החשיפה של ESXi היפרוויזורים שלא עודכנו בתיקוני אבטחה מספיק מהר." CERT ציין גם כי הבאג הממוקד "מאפשר לתוקף לבצע ניצול קוד שרירותי מרחוק".
ארגונים נקראו לתקן את פגיעות ה-Hypervisor כדי למנוע נפילה קורבן לפעולת כופר זו. עם זאת, CERT הזכיר לקוראים בהצהרה האמורה כי "עדכון מוצר או תוכנה הוא דבר עדין פעולה שיש לבצע בזהירות", וכי "מומלץ לבצע בדיקות ככל אפשרי."
VMWare דיברה גם על המצב
יחד עם CERT וגופים שונים אחרים, VMWare פרסמה גם פוסט על המתקפה הגלובלית הזו. ב
ייעוץ VMWare, נכתב שפגיעות השרת (הידועה בשם CVE-2021-21974) עלולה לגרום לשחקנים זדוניים היכולת "להפעיל את בעיית הצפה בערימה בשירות OpenSLP וכתוצאה מכך לקוד מרחוק ביצוע."VMWare גם ציינה שהיא הוציאה תיקון לפגיעות זו בפברואר 2021, שניתן להשתמש בה כדי לנתק את וקטור ההתקפה של המפעילים הזדוניים ולכן להימנע מלהיות מטרה.
נראה כי המתקפה הזו אינה מנוהלת
למרות שזהות התוקפים בקמפיין זה עדיין לא ידועה, זה נאמר על ידי אבטחת הסייבר הלאומית של איטליה הסוכנות (ACN) כי אין כרגע ראיות המצביעות על כך שהמתקפה בוצעה על ידי ישות מדינה כלשהי (כפי שדווח על ידי רויטרס). ארגונים איטלקיים שונים הושפעו מהתקיפה זו, כמו גם ארגונים בצרפת, ארה"ב, גרמניה וקנדה.
ניתנו הצעות מי יכול להיות אחראי לקמפיין הזה, עם תוכנות שונות משפחות תוכנות כופר כמו BlackCat, Agenda, ו-Nokoyawa, נחשבים. הזמן יגיד אם ניתן לחשוף את זהותם של המפעילים.
התקפות כופר ממשיכות להוות סיכון גדול
ככל שחולפות השנים, יותר ויותר ארגונים נופלים קורבן להתקפות של תוכנות כופר. אופן זה של פשעי סייבר הפך פופולרי להפליא בקרב שחקנים זדוניים, כאשר פריצת VMWare עולמית זו מראה עד כמה ההשלכות יכולות להיות נפוצות.
