BSI - Federal Bilgi Güvenliği Ofisi'ne göre, VMware'in ESXi sanallaştırma çözümünü çalıştıran binlerce sunucuya fidye yazılımı bulaştı ve birçoğu da yaygın bir küresel saldırıda şifrelendi.
VMware ESXi sunucularına yönelik saldırıların bölgesel odak noktası Fransa, ABD, Almanya ve Kanada idi - diğer ülkeler de etkilendi. Failler, uygulamanın OpenSLP hizmetinde bir "yığın taşmasını" tetikleyen ve nihayetinde kodun uzaktan yürütülmesine izin veren uzun süredir bilinen bir güvenlik açığından yararlandı. Artık VMware sürümü ve yamalarının takımyıldızına bağlı olarak ESXiArgs fidye yazılımı ile şifrelenmiş sunucuları geri yüklemek için bir araç var: ESXiArgs-Recover-Tool.
2 yaşında 8.8 yüksek güvenlik açığı
CVE-2021-21974 olarak listelenen ve CVSS'ye göre 8.8 önem derecesiyle "yüksek" olarak derecelendirilen güvenlik açığının kendisi, Şubat 2021'den bu yana üreticiden bir yama aldı. BSI, o sırada kritik güvenlik açığına zaten işaret etmişti. BSI'ya göre, olası hasarın etkisi ve boyutu hakkında somut açıklamalar henüz mümkün değil. BSI, bu BT güvenlik olayını yoğun bir şekilde analiz ediyor ve uluslararası ortaklarıyla temas halinde.
Özellikle İtalyan şirketleri hafta sonu yaşanan saldırıdan ağır darbe aldı. Çeşitli basında çıkan haberlere göre Telekom Italia TIM de saldırıdan etkilenmeli. Bazı durumlarda ülke genelinde internet performansı kısa bir süreliğine çökebilirdi. Ancak diğer ülkeler ve birçok şirket sorun yaşamaya devam ediyor. 2021 gibi erken bir tarihte, ESXi sunucularındaki boşluğu arayan ve kötü amaçlı yazılım çalıştıran istismarlar vardı.
Halihazırda 1.900'den fazla virüslü ESXi sunucusu
VMware ESXi sunucuları zaten fidye yazılımı tarafından şifrelenmiş olduğundan, güncelleme birçok yönetici için çok geç geliyor. Hala bu güvenlik açığına sahip olan ve henüz keşfedilmemiş olan şirketler, sunuculara derhal yama yapmalıdır. Check Point'e göre, 1.900'den fazla ESXi sunucusuna şimdiden virüs bulaştı, bildirildiğine göre kurbanların çoğu OVH ve Hetzner Hizmet Sağlayıcılarından geliyor. Ayrıca Fransız siber güvenlik otoritesi CERT, şimdiden tüm şirketlere ve sunucu operatörlerine uyarı yayınladı. Güvenlik açığını yamalamak için güvenlik talimatları ve güvenlik açığı bulunan sistemlerin açıklaması VMware'den edinilebilir.
VMware.com adresinden sunucu güncellemesi hakkında daha fazla bilgi edinin