Američka agencija za kibernetičku i infrastrukturnu bezbjednost (CISA) objavila je novu skriptu osmišljenu da pomogne žrtvama ransomware-a da povrate sve VMware virtuelne mašine (VM) na koje utiče trenutna globalna kampanja.
Program za praćenje plaćanja ransomware-a Ransomwhere procijenio je broj žrtava na 3.800, na osnovu napora skeniranja u ponedjeljak. Rečeno je da su izvršene četiri uplate u ukupnom iznosu od 88.000 dolara, iako će to vjerovatno potcijeniti obim kampanje.
Inicijalni izvještaji CERT-a na državnom nivou tvrde da hakeri iza toga iskorištavaju CVE-2021-21974, nasleđenu grešku koja omogućava napadačima da izvrše daljinsko izvršavanje koda na VMware-ovim ESXi hipervizorima tako što pokreću heap-overflow problem u OpenSLP-u.
Međutim, ažuriranje od VMware-a tvrdi da su “značajno zastarjeli proizvodi ciljani s poznatim ranjivostima”, što bi sugerisalo da se iskorištava više od jedne ranjivosti.
“Imajući ovo na umu, savjetujemo klijentima da nadograde na najnovija dostupna podržana izdanja vSphere komponenti kako bi riješili trenutno poznate ranjivosti”. “Pored toga, VMware je preporučio onemogućavanje OpenSLP usluge u ESXi. U 2021. godini, ESXi 7.0 U2c i ESXi 8.0 GA su počeli da se isporučuju sa podrazumjevano onemogućenom uslugom.”
Sada je CISA predstavila alat koji pomaže ugroženim korisnicima da oporave svoje VM-ove.
Na osnovu otkrića istraživača Enesa Sonmeza i Ahmeta Ajkača, skripta radi tako što rekonstruiše VM metapodatke sa virtuelnih diskova koji nisu bili šifrovani ransomware-om.
“Svaka organizacija koja želi da koristi CISA-inu ESXiArgs skriptu za oporavak treba pažljivo pregledati skriptu kako bi utvrdila da li je prikladna za njihovo okruženje prije nego što je implementira. Ova skripta ne nastoji da izbriše šifrovane konfiguracione fajlove, već umesto toga nastoji da kreira nove konfiguracione fajlove koji omogućavaju pristup VM-ovima”, objasnio je CISA.
“Dok CISA radi na tome da skripte poput ove budu sigurne i efikasne, ova skripta se isporučuje bez garancije, bilo implicitne ili eksplicitne. Nemojte koristiti ovu skriptu bez razumijevanja kako ona može utjecati na Vaš sistem.”
Izvor: Infosecurity Magazine
