شهریور ۲۷, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat
  • صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • CISA درباره باگ VMware ESXi که در حملات باج‌افزاری مورد سوء استفاده قرار می‌گیرد، هشدار می‌دهد.

CISA درباره باگ VMware ESXi که در حملات باج‌افزاری مورد سوء استفاده قرار می‌گیرد، هشدار می‌دهد.

CISA به آژانس‌های فدرال دستور داده است تا سرورهای خود را در برابر یک آسیب‌پذیری در VMware ESXi که امکان دور زدن احراز هویت را فراهم می‌کند و توسط مهاجمان سایبری برای انجام حملات باج‌افزاری استفاده می‌شود، ایمن کنند.

شرکت VMware که زیرمجموعه‌ای از Broadcom است، این نقص ( CVE-2024-37085 ) را که توسط پژوهشگران امنیتی مایکروسافت در تاریخ ۲۵ ژوئن کشف شده بود، با انتشار نسخه‌ی ESXi 8.0 U3 برطرف کرده است.

آسیب‌پذیری CVE-2024-37085 به مهاجمان اجازه می‌دهد تا بعد از دست‌یابی به سطح دسترسی بالا در ESXi، یک کاربر جدید به گروه ‘ESX Admins’ اضافه کنند که این کاربر جدید به‌طور خودکار تمام امتیازات مدیریتی را خواهد داشت.

با وجود نیازمندی‌های پیچیده برای بهره‌برداری از این آسیب‌پذیری و ارزیابی شدت متوسط آن توسط VMware، مایکروسافت فاش کرده که چندین گروه باج‌افزار در حال حاضر از این آسیب‌پذیری سوءاستفاده می‌کنند تا به امتیازات کامل مدیریتی در سیستم‌های هایپروایزر متصل به دامنه دست پیدا کنند.

مهاجمان، پس از کسب امتیازات مدیریتی، اقدام به سرقت داده‌های حساس، حرکت در شبکه‌های قربانیان، و رمزگذاری سیستم فایل‌های هایپروایزر ESXi می‌کنند که این عمل منجر به اختلالات در شبکه و اختلال در عملیات کسب‌وکار می‌شود.

تا کنون آسیب‌پذیری CVE-2024-37085 توسط گروه‌های باج‌افزاری خاصی که با نام‌های Storm-0506، Storm-1175، Octo Tempest و Manatee Tempest شناخته می‌شوند، برای نصب و اجرای باج‌افزارهای Akira و Black Basta مورد سوءاستفاده قرار گرفته است.

آژانس‌های فدرال سه هفته فرصت دارند تا سیستم‌های آسیب‌پذیر خود را امن کنند.

پس از گزارش مایکروسافت، CISA آسیب‌پذیری خاصی را به فهرست آسیب‌پذیری‌های شناخته شده که در حملات مورد سوءاستفاده قرار گرفته‌اند اضافه کرده تا به عنوان هشدار به سازمان‌ها و نهادها عمل کند که این آسیب‌پذیری در حال حاضر توسط مهاجمان سایبری در حملات استفاده می‌شود.

مطابق با دستورالعمل عملیاتی الزامی (BOD 22-01) که در نوامبر ۲۰۲۱ صادر شده است؛ آژانس‌های شاخه اجرایی فدرال مدنی (FCEB) اکنون سه هفته وقت دارند تا تا تاریخ ۲۰ اوت سیستم‌های خود را در برابر سوءاستفاده‌های جاری از آسیب‌پذیری CVE-2024-37085 ایمن کنند.

علی‌رغم اینکه دستورالعمل فقط برای آژانس‌های فدرال است، سازمان امنیت سایبری از تمام سازمان‌ها خواسته است که به رفع نقص امنیتی توجه ویژه داشته و از حملات باج‌افزاری که ممکن است به شبکه‌هایشان آسیب برساند، جلوگیری کنند.

CISA هشدار داده است که آسیب‌پذیری‌های مذکور به‌طور معمول به عنوان مسیرهای حمله توسط مهاجمان سایبری مخرب مورد استفاده قرار می‌گیرند و برای سازمان‌های فدرال تهدیدات جدی به همراه دارند.

در طی چند سال گذشته، عملیات‌های باج‌افزاری توجه خود را به هدف قرار دادن ماشین‌های مجازی ESXi قربانیان معطوف کرده‌اند، به ویژه زمانی که قربانیان از این ماشین‌ها برای ذخیره داده‌های حساس و میزبانی برنامه‌های مهم استفاده می‌کنند.

تا کنون، عملیات‌های باج‌افزاری عمدتاً از قفل‌کننده‌های لینوکس استفاده کرده‌اند که برای رمزگذاری ماشین‌های مجازی طراحی شده‌اند، به جای بهره‌برداری از آسیب‌پذیری‌های امنیتی خاص در ESXi( مانند CVE-2024-37085 ) ، حتی اگر انجام این کار می‌توانست راه سریع‌تری برای دسترسی به هایپروایزرهای قربانیان فراهم کند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب