RansomExxランサムウェアを拡散するために悪用されたVMWareの脆弱性

調査によると、「RansomExx Ransomware」の背後にあるサイバー犯罪者グループは、CVE-2019-5544やCVE-2020-3992などのVMWare ESXiの既知のバグを悪用して、このマルウェアを複数の仮想マシンに拡散し、同じハードドライブストレージを共有しています。ご存じない方もいらっしゃると思いますが、昨年11月にVMWareESXiのOPenSLPでCVE-2020-3992のバグが発見されました。

ESXiは、アプリケーションを使用して、プロセッサ、ストレージ、メモリ、およびネットワークリソースを複数のVMまたは仮想マシンに分割するハイパーバイザーです。この脆弱性は、ESXiにOpenSLPを実装したために発生し、ユーザーアフターフリー（UAF）の問題が発生しました。これらのUAFのバグは、通常、プログラムの操作中に動的メモリが正しく使用されなかったために発生しました。

メモリの場所を解放した後、プログラムがメモリへのポインタまたはアドレスをクリアしない場合、サイバー犯罪者はこの脆弱性を悪意のある目的で使用する可能性があります。 VMwareのセキュリティ研究者によると、ESXiホストまたは任意のHorizo​​n DaaS管理アプライアンスのポート427にネットワークアクセスできるサイバー犯罪者は、CVE-2019-5544の脆弱性により、OpenSLPサービスのヒープを上書きまたは誤解させる可能性があり、リモートコードが発生する可能性があります。実行。

CVE-2019-5544とCVE-2020-3992の両方の脆弱性は、同じネットワーク上のサイバー犯罪者が脆弱なESXiデバイスに悪意のあるSLP要求を送信するのを助ける可能性があり、これらの欠陥のために、攻撃者はそれを制御する可能性があります。 RansomExx Ransomwareのギャングだけでなく、Babuk LockerRansomwareのギャングも同様のシナリオに基づいて攻撃を実行しています。したがって、あなたまたはあなたの会社がVMware ESXiデバイスを使用している場合は、リリースされたセキュリティパッチをインストールして、これら2つの欠陥をすぐに修正する必要があります。また、SLPサポートを無効にすることで、これらのバグの説明を防ぐことができます。

サイバー犯罪者はバグを悪用して、RansomExxRansomwareのようなランサムウェアを広めます

ランサムウェアの開発者は、ネットワーク、コンピューター、ソフトウェア、またはその他のさまざまな脆弱性のバグを使用または悪用して、RansomExx Ransomware、Bubuk Ransomware、その他の有害なランサムウェアウイルスなどのランサムウェアを標的のシステムまたはネットワークに注入することが知られています。このタイプのキャンペーンでは、企業や組織を対象としています。

前述のように、CVE-2019-5544とCVE-2020-3992は、ESXiデバイスまたはネットワークを攻撃するためにサイバー犯罪者またはランサムウェア開発者によって悪用されたVMwareESXi製品の2つの脆弱性です。ただし、VMwareパッチの更新により、VMware ESXiユーザーはパッチを適用することでこれらの脆弱性を修正できるため、ESXiデバイスがランサムウェア攻撃やその他の攻撃を受けるのを防ぐことができます。