CISA به آژانسهای فدرال دستور داده است تا سرورهای خود را در برابر یک آسیبپذیری در VMware ESXi که امکان دور زدن احراز هویت را فراهم میکند و توسط مهاجمان سایبری برای انجام حملات باجافزاری استفاده میشود، ایمن کنند.
شرکت VMware که زیرمجموعهای از Broadcom است، این نقص ( CVE-2024-37085 ) را که توسط پژوهشگران امنیتی مایکروسافت در تاریخ ۲۵ ژوئن کشف شده بود، با انتشار نسخهی ESXi 8.0 U3 برطرف کرده است.
آسیبپذیری CVE-2024-37085 به مهاجمان اجازه میدهد تا بعد از دستیابی به سطح دسترسی بالا در ESXi، یک کاربر جدید به گروه ‘ESX Admins’ اضافه کنند که این کاربر جدید بهطور خودکار تمام امتیازات مدیریتی را خواهد داشت.
با وجود نیازمندیهای پیچیده برای بهرهبرداری از این آسیبپذیری و ارزیابی شدت متوسط آن توسط VMware، مایکروسافت فاش کرده که چندین گروه باجافزار در حال حاضر از این آسیبپذیری سوءاستفاده میکنند تا به امتیازات کامل مدیریتی در سیستمهای هایپروایزر متصل به دامنه دست پیدا کنند.
مهاجمان، پس از کسب امتیازات مدیریتی، اقدام به سرقت دادههای حساس، حرکت در شبکههای قربانیان، و رمزگذاری سیستم فایلهای هایپروایزر ESXi میکنند که این عمل منجر به اختلالات در شبکه و اختلال در عملیات کسبوکار میشود.
تا کنون آسیبپذیری CVE-2024-37085 توسط گروههای باجافزاری خاصی که با نامهای Storm-0506، Storm-1175، Octo Tempest و Manatee Tempest شناخته میشوند، برای نصب و اجرای باجافزارهای Akira و Black Basta مورد سوءاستفاده قرار گرفته است.
آژانسهای فدرال سه هفته فرصت دارند تا سیستمهای آسیبپذیر خود را امن کنند.
پس از گزارش مایکروسافت، CISA آسیبپذیری خاصی را به فهرست آسیبپذیریهای شناخته شده که در حملات مورد سوءاستفاده قرار گرفتهاند اضافه کرده تا به عنوان هشدار به سازمانها و نهادها عمل کند که این آسیبپذیری در حال حاضر توسط مهاجمان سایبری در حملات استفاده میشود.
مطابق با دستورالعمل عملیاتی الزامی (BOD 22-01) که در نوامبر ۲۰۲۱ صادر شده است؛ آژانسهای شاخه اجرایی فدرال مدنی (FCEB) اکنون سه هفته وقت دارند تا تا تاریخ ۲۰ اوت سیستمهای خود را در برابر سوءاستفادههای جاری از آسیبپذیری CVE-2024-37085 ایمن کنند.
علیرغم اینکه دستورالعمل فقط برای آژانسهای فدرال است، سازمان امنیت سایبری از تمام سازمانها خواسته است که به رفع نقص امنیتی توجه ویژه داشته و از حملات باجافزاری که ممکن است به شبکههایشان آسیب برساند، جلوگیری کنند.
CISA هشدار داده است که آسیبپذیریهای مذکور بهطور معمول به عنوان مسیرهای حمله توسط مهاجمان سایبری مخرب مورد استفاده قرار میگیرند و برای سازمانهای فدرال تهدیدات جدی به همراه دارند.
در طی چند سال گذشته، عملیاتهای باجافزاری توجه خود را به هدف قرار دادن ماشینهای مجازی ESXi قربانیان معطوف کردهاند، به ویژه زمانی که قربانیان از این ماشینها برای ذخیره دادههای حساس و میزبانی برنامههای مهم استفاده میکنند.
تا کنون، عملیاتهای باجافزاری عمدتاً از قفلکنندههای لینوکس استفاده کردهاند که برای رمزگذاری ماشینهای مجازی طراحی شدهاند، به جای بهرهبرداری از آسیبپذیریهای امنیتی خاص در ESXi( مانند CVE-2024-37085 ) ، حتی اگر انجام این کار میتوانست راه سریعتری برای دسترسی به هایپروایزرهای قربانیان فراهم کند.