Vulnerabilidade VMWare explorada para espalhar RansomExx Ransomware
De acordo com a pesquisa, o grupo de cibercriminosos por trás do ‘RansomExx Ransomware’ agora está explorando os bugs conhecidos no VMWare ESXi, incluindo CVE-2019-5544 e CVE-2020-3992, para espalhar esse malware em várias máquinas virtuais para compartilhar o mesmo armazenamento no disco rígido. Se você não sabe, o bug CVE-2020-3992 foi descoberto no futuro OPenSLP no VMWare ESXi em novembro do ano passado.
ESXi é um hipervisor que usa o aplicativo para particionar processadores, armazenamento, memória e recursos de rede em várias VMs ou máquinas virtuais. Esta vulnerabilidade foi causada pela implementação do OpenSLP no ESXi, que causou um problema de usuário após livre (UAF), e esses bugs UAF normalmente gerados a partir da utilização incorreta da memória dinâmica durante a operação de um programa.
Caso algum programa não apague o ponteiro ou o endereço da memória após liberar o local da memória, os cibercriminosos podem usar essa vulnerabilidade para fins maliciosos. De acordo com o pesquisador de segurança da VMware, os cibercriminosos com acesso à rede à porta 427 no host ESXi ou em qualquer dispositivo de gerenciamento Horizon DaaS podem substituir ou enganar o heap do serviço OpenSLP devido à vulnerabilidade CVE-2019-5544 e resultando em código remoto execução.
Ambas as vulnerabilidades CVE-2019-5544 e CVE-2020-3992 podem ajudar os cibercriminosos na mesma rede a enviar solicitações SLP maliciosas para dispositivos ESXi que são vulneráveis e, devido a essas falhas, os invasores podem obter controle sobre eles. Não apenas a gangue do RansomExx Ransomware, a gangue do Babuk Locker Ransomware também está realizando os ataques com base em um cenário semelhante. Portanto, se você ou sua empresa estiver usando dispositivos VMware ESXi, deverá instalar os patches de segurança lançados para corrigir essas duas falhas imediatamente. Além disso, você pode evitar a explicação desses bugs desativando o suporte SLP.
Os cibercriminosos exploram os bugs para espalhar ransomware como o RansomExx Ransomware
Os desenvolvedores de ransomware são conhecidos por usar ou explorar os bugs na rede, computadores, software ou várias outras vulnerabilidades para injetar ransomware como RansomExx Ransomware, Bubuk Ransomware e / ou outro vírus ransomware prejudicial em sistemas ou redes alvo. Eles têm como alvo empresas e organizações neste tipo de campanha.
Conforme mencionado, CVE-2019-5544 e CVE-2020-3992 são as duas vulnerabilidades no produto VMware ESXi que foi explorado por cibercriminosos ou desenvolvedores de ransomware para atacar dispositivos ou redes ESXi. No entanto, a atualização dos patches do VMware oferece aos usuários do VMware ESXi corrigir essas vulnerabilidades aplicando o patch e, portanto, eles podem impedir que os dispositivos ESXi contraem ataques de ransomware ou outros ataques.