Os ataques ao VMware ESXi nunca terminam. Eles continuam a ameaçar dezenas de milhares de servidores e exigem atualização para a versão mais recente do VMware ESXi, de acordo com especialistas da Bitdefender. Mesmo os scripts de resgate não funcionam mais porque o ransomware se adaptou.
Os ataques aos hipervisores VMware ESXi, que exploram a vulnerabilidade CVE-2021-21974 recentemente descoberta com pouco esforço para reproduzir uma ampla variedade de cargas úteis como código remoto, têm um enorme potencial de disseminação. Eles estão, portanto, se transformando em ataques em massa para cibercriminosos oportunistas e são um exemplo atual de ataques híbridos:
VMware-ESXi: exemplo de ataque híbrido
🔎 Ataques híbridos: Após um início automatizado, os atacantes passam para o trabalho manual (Imagem: Bitdefender).
Na primeira fase, os hackers procedem automaticamente, depois avaliam os resultados da pesquisa e, na segunda fase, continuam a realizar o ataque direcionado manualmente. É de se esperar que muitos usuários usem a vulnerabilidade de ataques à cadeia de suprimentos para atacar a empresa realmente notificada por meio de seus fornecedores.
A extensão dos ataques ainda não pode ser estimada com precisão. A onda de ataque está apenas começando agora. No entanto, o potencial numérico dos sistemas afetados é enorme. De acordo com os resultados da pesquisa da ferramenta Shodan, que está disponível abertamente e também é usada por hackers, o número de usuários de um host VMware ESXi é de dezenas de milhares. Até 7.0 hosts são visíveis na Internet, especialmente das versões anteriores ao ESXi 60.000. O serviço OpenSLP, que abre a brecha de segurança, só é desativado por padrão a partir da versão 7.0 em diante. O OpenSLP também é um gateway ideal para aquisição de hypervisor após qualquer máquina virtual ter sido invadida.
Além disso, 60.000 servidores ESXi 6.x vulneráveis
🔎 A ferramenta de verificação Shodan encontra mais de 60.000 servidores VMware ESXi vulneráveis em uma consulta de pesquisa (Imagem: Bitdefender).
“Qualquer pessoa que queira se proteger deve, portanto, agora tomar medidas defensivas básicas. E isso só pode ser atualizado para as versões mais recentes dos hipervisores. O bloqueio geral por um firewall da porta 427 (TCP/UDP), que o OpenSLP utiliza para sua comunicação, não pode impedir que um hacker ataque diretamente uma máquina virtual. Embora seja a primeira linha de defesa, não oferece nenhuma segurança real. E as ondas de ataques agora observadas são apenas um prenúncio de mais ataques este ano por grupos cibercriminosos experientes e avançados”, disse Martin Zugec, Diretor de Soluções Técnicas da Bitdefender.
Mais em Sophos.com
Sobre o Bitdefender A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de