Phòng Ngừa và Ứng Phó Trước Mối Đe Dọa Từ Lỗ Hổng Bảo Mật VMware ESXi Bị Ransomware Khai Thác

Nhóm tấn công ransomware BlackByte đang khai thác lỗ hổng bảo mật mới được vá gần đây trong VMware ESXi, đồng thời tận dụng các trình điều khiển dễ bị tổn thương để vô hiệu hóa các biện pháp bảo vệ an ninh.

ASVASV
Aug 28, 2024 - 20:20
 75
Phòng Ngừa và Ứng Phó Trước Mối Đe Dọa Từ Lỗ Hổng Bảo Mật VMware ESXi Bị Ransomware Khai Thác

Lỗ hổng bảo mật CVE-2024-37085, liên quan đến quy trình xác thực trong VMware ESXi, đã bị lợi dụng bởi nhiều nhóm ransomware khác, cho thấy sự thay đổi trong phương thức tấn công của các nhóm tội phạm mạng.

Theo Cisco Talos, đơn vị điều tra sự cố ransomware BlackByte, các kẻ tấn công đã xâm nhập hệ thống bằng cách sử dụng thông tin xác thực hợp lệ để truy cập VPN của nạn nhân, nhiều khả năng thông qua một cuộc tấn công brute-force. Sau khi có được quyền truy cập ban đầu, chúng leo thang đặc quyền và kiểm soát máy chủ VMware vCenter bằng cách thêm tài khoản mới vào nhóm Active Directory ESX Admins.

Việc khai thác lỗ hổng CVE-2024-37085 cho phép kẻ tấn công đạt được quyền quản trị viên trên hệ thống ảo hóa, từ đó kiểm soát máy ảo, sửa đổi cấu hình hệ thống, và truy cập trái phép vào các nhật ký hệ thống, công cụ chẩn đoán, và giám sát hiệu suất.

Biện pháp phòng ngừa

Để giảm thiểu nguy cơ bị tấn công, cần đảm bảo tất cả các máy chủ vCenter và ESXi đang sử dụng các phiên bản phần mềm được hỗ trợ và được cập nhật thường xuyên nhằm vá các lỗ hổng đã biết.

Trong trường hợp cần biện pháp giảm thiểu tạm thời, nên cô lập chức năng quản lý của các máy chủ ESXi vào một mạng riêng biệt, tách biệt với mạng máy ảo. Điều này có thể được triển khai thông qua VLAN, gắn thẻ, hoặc bằng cách sử dụng thiết bị chuyển mạch và bộ định tuyến vật lý. Mục tiêu là hạn chế sự phơi nhiễm của hệ thống cho đến khi có thể tiến hành nâng cấp. Đây không phải là giải pháp lâu dài và cần phải thay thế bằng việc cập nhật phần mềm.

Biện pháp bảo mật bổ sung

  1. Không tham gia máy chủ vCenter và ESXi vào miền.
  2. Bật chế độ khóa bảo mật tiêu chuẩn.
  3. Vô hiệu hóa SSH khi không cần thiết.
  4. Thực thi chính sách mật khẩu phức tạp cho máy chủ vCenter và ESXi.
  5. Áp dụng chính sách khóa tài khoản sau nhiều lần đăng nhập thất bại.
  6. Kích hoạt UEFI Secure Boot.
  7. Cấu hình máy chủ chỉ chấp nhận các tệp nhị phân được phân phối qua VIB đã ký.
  8. Vô hiệu hóa các dịch vụ không cần thiết như MOB, CIM, SLP, và SNMP.
  9. Thiết lập hệ thống ghi nhật ký liên tục.

Cảm xúc của bạn?

like

dislike

love

funny

angry

sad

wow

ASV QR DONATE: Anh em cảm thấy hữu ích hãy ủng hộ mình một ly cafe để có nhiều bài viết giá trị hơn nữa. Cần hỗ trợ tư vấn dịch vụ, vui lòng liên hệ mình. Xin cảm ơn./.