По данным блога, опубликованного в понедельник, ряд киберпреступников, занимающихся вымогательством и атаками с использованием программ-вымогателей, используют уязвимость в гипервизоре ESXi компании VMware, описанную исследователями Microsoft.
Согласно сообщению в блоге Microsoft Threat Intelligence , уязвимость позволяла злоумышленникам добавлять пользователей в созданную ими группу администраторов, что затем позволяло получить полные административные разрешения на гипервизорах ESXi, подключенных к домену.
Другие отмечают , что эта «уязвимость» на самом деле является «хорошо известной функцией» VMware vSphere, которая была задокументирована и обсуждается уже более десятилетия , и что злоумышленники, злоупотребляющие этой технологией в реальных условиях, уже имеют глубокий доступ к среде жертвы.
Тем не менее, исследователи из Microsoft заявили, что данная технология широко используется киберпреступниками в целях вымогательства и распространения программ-вымогателей.
Уязвимость, обозначенная как CVE-2024-37085 , затрагивала VMware ESXi, VMware vCenter Server и VMware Cloud Foundation и была обновлена 25 июня, сообщает Broadcom , материнская компания VMware. Агентство по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency) во вторник добавило CVE в свой Каталог известных эксплуатируемых уязвимостей .
Чтобы эксплуатировать уязвимость, злоумышленники запускали команды для создания новой группы «ESX Admins», а затем добавляли в неё нового пользователя. «Успешная эксплуатация уязвимости приводит к полному административному доступу к гипервизорам ESXi, позволяя злоумышленникам шифровать файловую систему гипервизора, что может повлиять на работоспособность размещённых серверов», — заявили исследователи. «Это также позволяет злоумышленникам получать доступ к размещённым виртуальным машинам и, возможно, краже данных или расширению сети».
Кристиан Мон , главный технолог Proact IT Norge AS в Норвегии, в понедельник в своём блоге назвал CVE «ничем не блещущим бургером» . Во вторник в онлайн-чате CyberScoop он заявил, что это «функция, а не ошибка». Он добавил, что рад, что VMware «удаляет её — это функция, которой, по сути, больше никто не пользуется, и меньше подвижных частей, которые можно неправильно настроить, — это хорошо. Но назвать это эксплойтом — это с натяжкой».
Компания Broadcom не отреагировала на просьбы прокомментировать ситуацию.
Шеррод ДеГриппо, директор по стратегии анализа угроз в Microsoft, сообщил CyberScoop в электронном письме во вторник, что компания тесно сотрудничала с VMware, чтобы раскрыть уязвимость и предоставить доказательство концепции, и что обнаруженной уязвимости был присвоен идентификатор CVE, а VMware выпустила исправление и руководство по его устранению вместе с «множеством уязвимостей».
«Программы-вымогатели — это серьёзная и высокосерьёзная угроза, используемая злоумышленниками по всему миру, и организациям следует знать, что эксплуатация этой уязвимости может привести к запуску программ-вымогателей или другой вредоносной активности», — сказал ДеГриппо. «В конечном счёте, раскрытие этой информации соответствует миссии Microsoft по повышению уровня безопасности и информированности организаций».
Исследователи Microsoft утверждают, что в последние годы ESXi стал «излюбленной целью злоумышленников», что, вероятно, связано с его популярностью в корпоративных сетях, ограниченной видимостью и защитой многих продуктов безопасности для гипервизора ESXi, а также способностью злоумышленников-вымогателей быстрее шифровать несколько виртуальных машин.
Исследователи отметили, что различные кластеры киберпреступной активности и варианты программ-вымогателей, отслеживаемые Microsoft, используют шифровальщики ESXi, включая Black Basta, Babuk, Lockbit и Kuiper. Количество инцидентов, связанных с атаками на гипервизоры ESXi и их воздействием, «более чем удвоилось» за последние три года, добавили исследователи.
В одном из примеров оператор программы-вымогателя, отслеживаемый Microsoft как Storm-0506, воспользовался уязвимостью во время атаки на неизвестную инжиниринговую фирму в Северной Америке, которая включала развертывание программы-вымогателя Black Basta.
Другие группы киберпреступников злоупотребляли этой технологией, включая группу, известную как Octo Tempest, что является отсылкой к экосистеме киберпреступников, известной как «Com», но также упоминаемой по названию, данному CrowdStrike, « Scattered Spider ».
Группировка известна своими атаками на крупные международные объекты, включая MGM Resorts и Clorox. Высокопоставленный сотрудник ФБР недавно включил Scattered Spider в тройку главных угроз кибербезопасности наряду с Китаем и российским Агентством внешней разведки.
Согласно сообщению в блоге Microsoft Threat Intelligence , уязвимость позволяла злоумышленникам добавлять пользователей в созданную ими группу администраторов, что затем позволяло получить полные административные разрешения на гипервизорах ESXi, подключенных к домену.
Другие отмечают , что эта «уязвимость» на самом деле является «хорошо известной функцией» VMware vSphere, которая была задокументирована и обсуждается уже более десятилетия , и что злоумышленники, злоупотребляющие этой технологией в реальных условиях, уже имеют глубокий доступ к среде жертвы.
Тем не менее, исследователи из Microsoft заявили, что данная технология широко используется киберпреступниками в целях вымогательства и распространения программ-вымогателей.
Уязвимость, обозначенная как CVE-2024-37085 , затрагивала VMware ESXi, VMware vCenter Server и VMware Cloud Foundation и была обновлена 25 июня, сообщает Broadcom , материнская компания VMware. Агентство по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency) во вторник добавило CVE в свой Каталог известных эксплуатируемых уязвимостей .
Чтобы эксплуатировать уязвимость, злоумышленники запускали команды для создания новой группы «ESX Admins», а затем добавляли в неё нового пользователя. «Успешная эксплуатация уязвимости приводит к полному административному доступу к гипервизорам ESXi, позволяя злоумышленникам шифровать файловую систему гипервизора, что может повлиять на работоспособность размещённых серверов», — заявили исследователи. «Это также позволяет злоумышленникам получать доступ к размещённым виртуальным машинам и, возможно, краже данных или расширению сети».
Кристиан Мон , главный технолог Proact IT Norge AS в Норвегии, в понедельник в своём блоге назвал CVE «ничем не блещущим бургером» . Во вторник в онлайн-чате CyberScoop он заявил, что это «функция, а не ошибка». Он добавил, что рад, что VMware «удаляет её — это функция, которой, по сути, больше никто не пользуется, и меньше подвижных частей, которые можно неправильно настроить, — это хорошо. Но назвать это эксплойтом — это с натяжкой».
Компания Broadcom не отреагировала на просьбы прокомментировать ситуацию.
Шеррод ДеГриппо, директор по стратегии анализа угроз в Microsoft, сообщил CyberScoop в электронном письме во вторник, что компания тесно сотрудничала с VMware, чтобы раскрыть уязвимость и предоставить доказательство концепции, и что обнаруженной уязвимости был присвоен идентификатор CVE, а VMware выпустила исправление и руководство по его устранению вместе с «множеством уязвимостей».
«Программы-вымогатели — это серьёзная и высокосерьёзная угроза, используемая злоумышленниками по всему миру, и организациям следует знать, что эксплуатация этой уязвимости может привести к запуску программ-вымогателей или другой вредоносной активности», — сказал ДеГриппо. «В конечном счёте, раскрытие этой информации соответствует миссии Microsoft по повышению уровня безопасности и информированности организаций».
Исследователи Microsoft утверждают, что в последние годы ESXi стал «излюбленной целью злоумышленников», что, вероятно, связано с его популярностью в корпоративных сетях, ограниченной видимостью и защитой многих продуктов безопасности для гипервизора ESXi, а также способностью злоумышленников-вымогателей быстрее шифровать несколько виртуальных машин.
Исследователи отметили, что различные кластеры киберпреступной активности и варианты программ-вымогателей, отслеживаемые Microsoft, используют шифровальщики ESXi, включая Black Basta, Babuk, Lockbit и Kuiper. Количество инцидентов, связанных с атаками на гипервизоры ESXi и их воздействием, «более чем удвоилось» за последние три года, добавили исследователи.
В одном из примеров оператор программы-вымогателя, отслеживаемый Microsoft как Storm-0506, воспользовался уязвимостью во время атаки на неизвестную инжиниринговую фирму в Северной Америке, которая включала развертывание программы-вымогателя Black Basta.
Другие группы киберпреступников злоупотребляли этой технологией, включая группу, известную как Octo Tempest, что является отсылкой к экосистеме киберпреступников, известной как «Com», но также упоминаемой по названию, данному CrowdStrike, « Scattered Spider ».
Группировка известна своими атаками на крупные международные объекты, включая MGM Resorts и Clorox. Высокопоставленный сотрудник ФБР недавно включил Scattered Spider в тройку главных угроз кибербезопасности наряду с Китаем и российским Агентством внешней разведки.
