Vulnerabilità VMWare sfruttata per diffondere RansomExx Ransomware
Secondo una ricerca, il gruppo di cybercriminali dietro “RansomExx Ransomware” sta ora sfruttando i bug noti in VMWare ESXi, inclusi CVE-2019-5544 e CVE-2020-3992, per diffondere questo malware in più macchine virtuali per condividere lo stesso spazio di archiviazione del disco rigido. Se non sei a conoscenza, il bug CVE-2020-3992 è stato scoperto in OPenSLP future in VMWare ESXi nel novembre dello scorso anno.
ESXi è un hypervisor che utilizza l’applicazione per partizionare processori, archiviazione, memoria e risorse di rete in più VM o macchine virtuali. Questa vulnerabilità è stata causata dall’implementazione di OpenSLP in ESXi che causava un problema di user-after-free (UAF) e questi bug UAF tipicamente generati dall’utilizzo errato della memoria dinamica durante il funzionamento di un programma.
Nel caso in cui un programma non cancella il puntatore o l’indirizzo alla memoria dopo aver liberato la posizione della memoria, i criminali informatici possono utilizzare questa vulnerabilità per scopi dannosi. Secondo il ricercatore di sicurezza VMware, i criminali informatici con accesso di rete alla porta 427 sull’host ESXi o su qualsiasi appliance Horizon DaaS Management potrebbero essere in grado di sovrascrivere o fuorviare l’heap del servizio OpenSLP a causa della vulnerabilità CVE-2019-5544 e conseguente codice remoto esecuzione.
CVE-2019-5544 e CVE-2020-3992 entrambe le vulnerabilità potrebbero aiutare i criminali informatici sulla stessa rete a inviare richieste SLP dannose a dispositivi ESXi vulnerabili e, a causa di questi difetti, gli aggressori potrebbero quindi ottenere il controllo su di essa. Non solo la banda di RansomExx Ransomware, ma anche la banda di Babuk Locker Ransomware sta effettuando gli attacchi basati su uno scenario simile. Quindi, se tu o la tua azienda state utilizzando i dispositivi VMware ESXi, è necessario installare le patch di sicurezza rilasciate per correggere immediatamente questi due difetti. Inoltre, è possibile impedire la spiegazione di questi bug disabilitando il supporto SLP.
I criminali informatici sfruttano i bug per diffondere Ransomware come RansomExx Ransomware
È noto che gli sviluppatori di ransomware utilizzano o sfruttano i bug in rete, computer, software o varie altre vulnerabilità per iniettare ransomware come RansomExx Ransomware, Bubuk Ransomware e / o altri virus ransomware dannosi in sistemi o reti mirati. Si rivolgono a imprese e organizzazioni in questo tipo di campagna.
Come accennato, CVE-2019-5544 e CVE-2020-3992 sono le due vulnerabilità nel prodotto VMware ESXi che è stato sfruttato dai criminali informatici o dagli sviluppatori di ransomware per attaccare i dispositivi o le reti ESXi. Tuttavia, l’aggiornamento delle patch VMware offre agli utenti VMware ESXi di correggere queste vulnerabilità applicando la patch e, quindi, possono impedire ai dispositivi ESXi di attacchi ransomware o altri attacchi.