Több ezer szerver ellen hajtottak végre a hétvégén ransomware-támadást, írta a Reuters. A támadók a VMware ESXi egy olyan sérülékenységét igyekeztek kiaknázni, amelyre a szoftvergyártó kereken két éve, 2021 februárjában adott ki javítást. A súlyos, 8,8-as besorolású hiba áttételesen, halomtúlcsordulás révén ad lehetőséget távoli illetéktelen kódfuttatásra. A probléma az ESXi három verzióját, a 7.0-t, 6.7-et és 6.5-öt érinti – utóbbi két verzió támogatását tavaly októberben állította le a VMware (ebből következőleg biztosan vannak helyek, ahol még nem sikerült átállni újabb, támogatott kiadásra).

A támadás több országot érintett. Olaszország, Franciaország és Finnország mellett az Egyesült Államokból és Kanadából is jelentettek incidenseket. Az európai országok kibevédelmi ügynökségei vasárnap adtak ki riasztást, hogy a szervezetek tegyék meg a szükséges óvintézkedéseket. Az olasz nemzeti kiberbiztonsági hivatal, az ACN (Agenzia per la Cybersicurezza Nazionale) főigazgatója, Roberto Baldoni azt nyilatkozta a Reutersnek, hogy a támadás tömeges méreteket öltött. Az amerikai szövetségi kiberbiztonsági ügynökség, a CISA (Cybersecurity and Infrastructure Security Agency) szakemberei egyelőre a bejelentett incidensek hatását vizsgálják. A támadás forrásáról azonban egyelőre egyik szervezet sem adott információt, ahogy a tényleges károkról sincsenek konkrétumok.

A kiberbiztonsági szervezetek után megszólalt a VMware is. A vállalat szóvivője felhívta a figyelmet a két éve kiadott javításra, és azt javasolta ügyfeleinek, hogy azt haladéktalanul telepítsék, ha addig nem tették meg. Biztosak vannak indokaik a szervezeteknek arra, hogy nem támogatott és/vagy nem javított kódot futtassanak, de most már arra is van legalább egy jó okuk, hogy módosítsanak a hozzáállásukon, jegyzi meg a The Register. Az ESXi ugyanis kiváló támadási célpont, mert bare metal hypervisorként számos olyan vendéggéphez engedhet hozzáférést, amelyek alkalmazásokat futtatnak és adatokat tárolnak.

A vírusok sem tökéletesek

A titkosításhoz a rosszindulatú kód a /tmp/public.pem fájlban helyezi el a nyilvános kulcsot. Maga a titkosítás kifejezetten a virtuális gépek fájljaira utazik (.vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem).

Szerencse a szerencsétlenségben, hogy a támadók által használt zsarolóvírus hibás. A francia OVHcloud felhőszolgáltató elemzése (amely a támadás azonosításában is segít) szerint a titkosítási folyamat néha sikertelen. A kártevő megpróbálja leállítani a virtuális gépeket a VMX-folyamat lelövésével, hogy ezzel feloldja a fájlokat. Ez a funkció azonban időnként nem működik, emiatt a fájlok zárolva maradnak. Emellett már elérhetők a vírus titkosítását visszafejtő eszközök is.

Mindezzel együtt érdemes megfontolni a VMware tanácsát, és mielőbb telepíteni a javítást a veszélyeztetett rendszerekre.