A VMware disse na segunda-feira que não encontrou provas de que os actores da ameaça estejam a aproveitar uma falha de segurança desconhecida, ou seja, um dia zero, no seu software como parte de um ataque de resgate em curso em todo o mundo.
“A maioria dos relatórios afirma que o Fim do Apoio Geral (EoGS) e/ou produtos significativamente desactualizados estão a ser alvo de vulnerabilidades conhecidas que foram anteriormente abordadas e divulgadas em VMware Security Advisories (VMSAs)”, o fornecedor de serviços de virtualização disse.
A empresa recomenda ainda aos utilizadores que actualizem para as últimas versões disponíveis dos componentes vSphere suportados para mitigar os problemas conhecidos e desactivar o serviço OpenSLP em ESXi.
“Em 2021, ESXi 7.0 U2c e ESXi 8.0 GA começaram a ser enviados com o serviço desactivado por defeito,” acrescentou a VMware.
O anúncio vem como servidores VMware ESXi não remarcados e não seguros em todo o mundo foram alvo de um em grande escala campanha de resgate de bens dublado ESXiArgs, provavelmente explorando um bug VMware de dois anos de idade remendado em Fevereiro de 2021.
A vulnerabilidade, rastreada como CVE-2021-21974 (pontuação CVSS: 8,8), é uma vulnerabilidade de sobrecarga de buffer baseada em pilha OpenSLP que um actor de ameaça não autenticada pode explorar para obter execução de código remoto.
As intrusões parecem destacar servidores ESXi susceptíveis que estão expostos à Internet na porta 427 da OpenSLP, com as vítimas instruídas a pagar 2.01 Bitcoin (cerca de $45,990 a partir da escrita) para receber a chave de encriptação necessária para recuperar ficheiros. Até à data, não foi observada qualquer exfiltração de dados.
Os dados do GreyNoise mostram que 19 endereços IP únicos têm tentado explorar a vulnerabilidade do ESXi desde 4 de Fevereiro de 2023. 18 dos 19 endereços IP são classificados como benignos, com uma única exploração maliciosa gravado dos Países Baixos.
“Os clientes ESXi devem garantir o backup dos seus dados e devem actualizar as suas instalações ESXi para uma versão fixa numa base de emergência, sem esperar pela ocorrência de um ciclo de patch regular”, a investigadora da Rapid7 Caitlin Condon disse. “As instâncias ESXi não devem ser expostas à Internet se de todo possível”.