Pazar, Haziran 23, 2024
Ana SayfaTeknoloji HaberleriBilgisayar korsanları, yamalı bir açıktan yararlanarak dünya çapındaki sunuculara toplu olarak bulaşıyor

Bilgisayar korsanları, yamalı bir açıktan yararlanarak dünya çapındaki sunuculara toplu olarak bulaşıyor

Fotoğraf, bir ikili kod dizisinden virüs çıkaran bir güvenlik tarayıcısını gösteriyor.  kelime ile el

Getty Resimleri

Pazartesi günü geniş çapta bildirilen bir siber saldırı patlaması, iki yıl önce yamalanan bir güvenlik açığından yararlanarak dünyanın dört bir yanındaki sunucuları felç edici fidye yazılımı ile etkiliyor.

Bilgisayar korsanları, VMware’in donanım kaynaklarını birleştirmek için bulut sunucularına ve diğer büyük ölçekli kuruluşlara sattığı bir hipervizör olan ESXi’deki bir kusurdan yararlanır. ESXi, çıplak metal veya Tip 1 hiper yönetici olarak bilinen şeydir, yani doğrudan sunucu donanımında çalışan kendi işletim sistemidir. Buna karşılık, VMware’in VirtualBox’ı gibi daha tanıdık Tip 2 hipervizör sınıfı çalıştıran sunucular, bir ana bilgisayar işletim sisteminin üzerinde uygulamalar olarak çalışır. Type 2 hipervizörleri daha sonra Windows, Linux veya daha az sıklıkla macOS gibi kendi konuk işletim sistemlerini barındıran sanal makineleri çalıştırır.

ESXiArgs’a girin

Yakın zamanda Fransa, İtalya ve Avusturya’daki bilgisayar acil müdahale ekipleri (CERT) tarafından yayınlanan tavsiyeler, en geç Cuma günü başlayan ve o zamandan beri ivme kazanan “devasa” bir kampanyadan bahsediyor. Avusturya’daki CERT yetkilileri, Census’ta yapılan bir aramanın sonuçlarına atıfta bulunarak, Pazar günü itibariyle sekizi o ülkede olmak üzere 3.200’den fazla virüslü sunucu olduğunu söyledi.

Yetkililer, “ESXi sunucuları sanal makineler (VM) olarak çok sayıda sistem sağladığından, bu sayıdan çok sayıda bireysel sistemin etkilenmesi beklenebilir” diye yazdı yetkililer.

Sunucuları etkilemek için kullanılan güvenlik açığı, ESXi’ye dahil edilmiş bir açık ağ keşif standardı olan OpenSLP’deki yığın tabanlı arabellek taşmasından kaynaklanan CVE-2021-21974’tür. VMware, Şubat 2021’de güvenlik açığını düzelttiğinde şirket, 427 numaralı bağlantı noktası üzerinden aynı ağ segmentine erişimi olan kötü niyetli bir aktör tarafından güvenlik açığından yararlanılabileceği konusunda uyardı. Güvenlik açığının önem derecesi, olası 10 üzerinden 8,8’di. istismar kodu ve onu kullanma talimatları birkaç ay sonra kullanıma sunuldu.

Hafta sonu, Fransız bulut sunucusu OVH, müşterileri tarafından kurulan savunmasız sunuculara yama yapma yeteneğine sahip olmadığını söyledi.

OVH’nin baş bilgi güvenliği sorumlusu Julien Levrard, “ESXi OS yalnızca çıplak donanım sunucularına kurulabilir” diye yazdı. “Müşterilerimiz tarafından ESXI kurulumunu algılamak için otomasyon günlüklerimize dayanarak savunmasız sunucuları belirlemek için birkaç girişim başlattık. Müşteri sunucularımıza mantıksal erişimimiz olmadığı için sınırlı eylem araçlarına sahibiz.”

Bu arada şirket, 427 numaralı bağlantı noktasına erişimi engelledi ve ayrıca savunmasız sunucular çalıştırdığını belirlediği tüm müşterilere bildirimde bulunuyor.

Levrard, saldırılara yüklenen fidye yazılımının .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram ve .vmem ile bitenler de dahil olmak üzere sanal makine dosyalarını şifrelediğini söyledi. Kötü amaçlı yazılım daha sonra VMX olarak bilinen bir işlemi sonlandırarak dosyaların kilidini açmaya çalışır. İşlev, geliştiricilerinin amaçladığı gibi çalışmıyor ve bu da dosyaların kilitli kalmasına neden oluyor.

Araştırmacılar kampanyayı ve arkasındaki fidye yazılımını ESXiArgs olarak adlandırdı çünkü kötü amaçlı yazılım bir belgeyi şifreledikten sonra “.args” uzantılı ek bir dosya oluşturuyor. .args dosyası, şifrelenmiş verilerin şifresini çözmek için kullanılan verileri depolar.

YoreGroup Tech Team’den araştırmacılar Enes Sönmez ve Ahmet Aykaç, ESXiArgs için şifreleme işleminin, kurbanların şifrelenmiş verileri geri yüklemesine olanak tanıyan hatalar yapabileceğini bildirdi. OVH’den Levrard, ekibinin araştırmacıların tarif ettiği restorasyon sürecini test ettiğini ve girişimlerin yaklaşık üçte ikisinde başarılı bulduğunu söyledi.

ESXi’ye güvenen herkes, yaptığı işi bırakmalı ve CVE-2021-21974 yamalarının yüklendiğinden emin olmalıdır. Yukarıda bağlantısı verilen öneriler ayrıca bu hipervizörü kullanan sunucuları kilitlemek için daha fazla rehberlik sağlar.

RELATED ARTICLES

Popüler Konular