مایکروسافت تحلیل جدیدی را از یک آسیب‌پذیری در هایپروایزرهای VMware ESXi منتشر کرده است که نشان می‌دهد این نقص امنیتی که اخیرا برطرف شده است، به طور فعال توسط چندین گروه باج‌افزاری به منظور اخذ دسترسی‌های سطح بالا و استقرار بدافزار مورد سوء استفاده قرار گرفته است.

آسیب‌پذیری مذکور که با CVE-2024-37085 (CVSS 6.8) ردگیری می‌شود مربوط به دور زدن فرایند احراز هویت Active Directory است که به مهاجمان اجازه می‌دهد تا با سطح دسترسی administrator به میزبان ESXi متصل شوند. در واقع انجام این کار دقیقا به سادگی ایجاد یک گروه AD جدید به نام ESX Admins و افزودن هر کاربر دلخواه به آن است.

شرکت VMware هنگام انتشار به‌روزرسانی اخیرش برای رفع این آسیب‌پذیری، اطلاعاتی پیرامون سوءاستفاده فعال از این نقص امنیتی ارائه نداد. اما بررسی‌های جدید مایکروسافت حاکی از آن است که عوامل باج‌افزاری مانند Storm-0506، Storm-1175، Octo Tempest و Manatee Tempest از این آسیب‌پذیری برای استقرار باج‌افزارهای معروفی مانند Akira و Black Basta استفاده کرده‌اند.

در یک مورد، Storm-0506 از این آسیب‌پذیری برای به دست آوردن سطح دسترسی بالا در هایپروایزرهای ESXi استفاده کرده بود. این عامل مخرب دسترسی اولیه را با استفاده از QakBot به دست آورده و سپس از آسیب‌پذیری دیگری در ویندوز (CVE-2023-28252) بهره جسته بود. 

در موردی دیگر، به کمک استقرار Cobalt Strike و Pypkatz اطلاعات احراز هویت administrator به سرقت رفته و پس از حضور در شبکه نسبت به حذف SystemBC اقدام شده بود تا در مرحله بعدی ضمن دسترسی مدیریتی به ESXi، باج‌افزار Black Basta مستقر شود.

طی چند سال گذشته، عوامل باج‌افزاری تمایل زیادی به استفاده از تکنیک‌های جدید در راستای به حداکثر رساندن تأثیر نفوذ و فرار از شناسایی شدن، نشان داده‌اند. این عوامل به طور فزاینده‌ای هایپروایزرهای ESXi را مورد هدف قرار داده‌اند چرا که از محبوبیت بالایی برخوردارند.

به سازمان‌ها توصیه می‌شود همیشه آخرین به‌روزرسانی‌های نرم‌افزاری را نصب نمایند. همچنین نسبت به حفظ امنیت اطلاعات احراز هویت نهایت تلاش خود را به کار گیرند. استفاده از احراز هویت چندمرحله‌ای، نظارت‌های منظم و پشتیبان‌گیری مداوم، گام‌های مهمی در جهت محافظت از دارایی‌های هر سازمانی است.

برای مطالعه گزارش مایکروسافت به این لینک مراجعه نمایید:

https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/