مایکروسافت تحلیل جدیدی را از یک آسیبپذیری در هایپروایزرهای VMware ESXi منتشر کرده است که نشان میدهد این نقص امنیتی که اخیرا برطرف شده است، به طور فعال توسط چندین گروه باجافزاری به منظور اخذ دسترسیهای سطح بالا و استقرار بدافزار مورد سوء استفاده قرار گرفته است.
آسیبپذیری مذکور که با CVE-2024-37085 (CVSS 6.8) ردگیری میشود مربوط به دور زدن فرایند احراز هویت Active Directory است که به مهاجمان اجازه میدهد تا با سطح دسترسی administrator به میزبان ESXi متصل شوند. در واقع انجام این کار دقیقا به سادگی ایجاد یک گروه AD جدید به نام ESX Admins و افزودن هر کاربر دلخواه به آن است.
شرکت VMware هنگام انتشار بهروزرسانی اخیرش برای رفع این آسیبپذیری، اطلاعاتی پیرامون سوءاستفاده فعال از این نقص امنیتی ارائه نداد. اما بررسیهای جدید مایکروسافت حاکی از آن است که عوامل باجافزاری مانند Storm-0506، Storm-1175، Octo Tempest و Manatee Tempest از این آسیبپذیری برای استقرار باجافزارهای معروفی مانند Akira و Black Basta استفاده کردهاند.
در یک مورد، Storm-0506 از این آسیبپذیری برای به دست آوردن سطح دسترسی بالا در هایپروایزرهای ESXi استفاده کرده بود. این عامل مخرب دسترسی اولیه را با استفاده از QakBot به دست آورده و سپس از آسیبپذیری دیگری در ویندوز (CVE-2023-28252) بهره جسته بود.
در موردی دیگر، به کمک استقرار Cobalt Strike و Pypkatz اطلاعات احراز هویت administrator به سرقت رفته و پس از حضور در شبکه نسبت به حذف SystemBC اقدام شده بود تا در مرحله بعدی ضمن دسترسی مدیریتی به ESXi، باجافزار Black Basta مستقر شود.
طی چند سال گذشته، عوامل باجافزاری تمایل زیادی به استفاده از تکنیکهای جدید در راستای به حداکثر رساندن تأثیر نفوذ و فرار از شناسایی شدن، نشان دادهاند. این عوامل به طور فزایندهای هایپروایزرهای ESXi را مورد هدف قرار دادهاند چرا که از محبوبیت بالایی برخوردارند.
به سازمانها توصیه میشود همیشه آخرین بهروزرسانیهای نرمافزاری را نصب نمایند. همچنین نسبت به حفظ امنیت اطلاعات احراز هویت نهایت تلاش خود را به کار گیرند. استفاده از احراز هویت چندمرحلهای، نظارتهای منظم و پشتیبانگیری مداوم، گامهای مهمی در جهت محافظت از داراییهای هر سازمانی است.
برای مطالعه گزارش مایکروسافت به این لینک مراجعه نمایید:
https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/