Phòng Ngừa và Ứng Phó Trước Mối Đe Dọa Từ Lỗ Hổng Bảo Mật VMware ESXi Bị Ransomware Khai Thác

Nhóm tấn công ransomware BlackByte đang khai thác lỗ hổng bảo mật mới được vá gần đây trong VMware ESXi, đồng thời tận dụng các trình điều khiển dễ bị tổn thương để vô hiệu hóa các biện pháp bảo vệ an ninh.

ASV

Aug 28, 2024 - 20:20

Phòng Ngừa và Ứng Phó Trước Mối Đe Dọa Từ Lỗ Hổng Bảo Mật VMware ESXi Bị Ransomware Khai Thác

Lỗ hổng bảo mật CVE-2024-37085, liên quan đến quy trình xác thực trong VMware ESXi, đã bị lợi dụng bởi nhiều nhóm ransomware khác, cho thấy sự thay đổi trong phương thức tấn công của các nhóm tội phạm mạng.

Theo Cisco Talos, đơn vị điều tra sự cố ransomware BlackByte, các kẻ tấn công đã xâm nhập hệ thống bằng cách sử dụng thông tin xác thực hợp lệ để truy cập VPN của nạn nhân, nhiều khả năng thông qua một cuộc tấn công brute-force. Sau khi có được quyền truy cập ban đầu, chúng leo thang đặc quyền và kiểm soát máy chủ VMware vCenter bằng cách thêm tài khoản mới vào nhóm Active Directory ESX Admins.

Việc khai thác lỗ hổng CVE-2024-37085 cho phép kẻ tấn công đạt được quyền quản trị viên trên hệ thống ảo hóa, từ đó kiểm soát máy ảo, sửa đổi cấu hình hệ thống, và truy cập trái phép vào các nhật ký hệ thống, công cụ chẩn đoán, và giám sát hiệu suất.

Biện pháp phòng ngừa

Để giảm thiểu nguy cơ bị tấn công, cần đảm bảo tất cả các máy chủ vCenter và ESXi đang sử dụng các phiên bản phần mềm được hỗ trợ và được cập nhật thường xuyên nhằm vá các lỗ hổng đã biết.

Trong trường hợp cần biện pháp giảm thiểu tạm thời, nên cô lập chức năng quản lý của các máy chủ ESXi vào một mạng riêng biệt, tách biệt với mạng máy ảo. Điều này có thể được triển khai thông qua VLAN, gắn thẻ, hoặc bằng cách sử dụng thiết bị chuyển mạch và bộ định tuyến vật lý. Mục tiêu là hạn chế sự phơi nhiễm của hệ thống cho đến khi có thể tiến hành nâng cấp. Đây không phải là giải pháp lâu dài và cần phải thay thế bằng việc cập nhật phần mềm.