A zsarolóvírus-támadások legújabb hulláma egy kétéves VMWare sebezhetőségen alapul. A támadások világszerte több ezer szervezetet érintettek, különösen Európában és Észak-Amerikában.
A világ minden tájáról érkeznek jelentések az EXSIArgs nevű új zsarolóprogramról. Az EXSI hipervizor szoftver kétéves sebezhetőségét kihasználva a rosszfiúk képesek a fertőzött munkaállomások rendszerén belül fontos fájlokat törölni. Több mint 3200 VMWare szerver volt érintett 2023. február 6-ig.
Az incidens azonnali reakciókat váltott ki az érintett területek hatóságaiból. Az amerikai kiberbiztonsági és infrastruktúra-biztonsági ügynökség, más néven CISA szóvivője bejelentette, hogy a szervezet tud a problémáról. A CISA széleskörűen együttműködik magán- és állami partnerekkel a támadások hatásainak felmérésén és szükség esetén segítségnyújtáson. Az olasz Nemzeti Kiberbiztonsági Ügynökség szintén figyelmeztetést adott ki a szervezetek számára, azonnali intézkedések megtételére szólítva fel őket.
Hogyan történt
Ez a támadás a VMWare EXSI szerverek két évvel ezelőtti sebezhetőségével kezdődött. Az EXSI egy olyan technológia, amelyet a vállalat több gép egyetlen szerveren történő elhelyezésére és koordinálására használ. A szóban forgó sebezhetőség az OpenSLP szolgáltatáshoz kapcsolódik, amely az EXSI régebbi verzióiban elérhető. Ha a rosszindulatú szereplők kihasználják ezt a sebezhetőséget, olyan kódot hajthatnak végre, amely fájlokat töröl a rendszeren.
Ez a sebezhetőség azonban nem ismeretlen. 2021-ben hozták nyilvánosságra, és CVE-2021-21974 néven követik nyomon. A vállalat azt ajánlotta, hogy a szervezetek kezdjék el frissíteni a vSphere komponenseiket a legújabb verziókra, mivel azok tartalmazzák a sebezhetőség javítófoltját.
Sebezhető pontok: A rejtett tőrök
A rosszindulatú szereplők már régóta használják a szoftverek sebezhetőségeit, néhány különösen hírhedt eset, például a CVE-2018-8174, más néven Double Kill, és a ProxyLogon exploit. Mivel a sebezhetőségek a rosszindulatú programok behatolási pontjai lehetnek, a szakértők azt javasolják, hogy amint elérhetővé válik egy frissítés, javítsuk ki őket.
A sebezhetőségekre vonatkozó kormányzati és egyéb előírások egyre gyakoribbak és szigorúbbak. Például 2022 októberében a fent említett CISA kötelező érvényű működési irányelvet (BOD 23-01) adott ki az eszközök láthatóságának javítására és a vulnerability detection a szövetségi hálózatokon. 2023. április 3-ig minden szövetségi ügynökségnek meg kell felelnie annak a követelménynek, hogy 7 naponként automatikus eszközfelderítést végezzenek, és 14 naponként kezdeményezzék a sebezhetőségek felsorolását az összes felfedezett eszközön (beleértve a végpontokat, például laptopokat).
Bár ez minden szervezet számára alapvető fontosságú, és a szövetségi ügynökségek számára már kötelező, ez nem jelenti azt, hogy ez könnyű feladat. A szervezetek akár több ezer eszközzel is rendelkezhetnek, amelyeket egyszerre kell frissíteni, és az is kolosszális erőfeszítés, hogy minden egyes eszköz frissítése biztosított legyen. Ne feledje, hogy egyetlen fertőzött eszköz olyan fertőzési láncot indíthat el, amely hatalmas adatvesztést okoz.
Hogyan védheti meg a SDP és a Zero-Trust a hálózatát?
OPSWATA MetaDefender Access Zero-Trust Access Platform egy olyan átfogó megoldás, amely biztonsági jogszabályi megfelelőséget, átláthatóságot és ellenőrzést biztosít minden, a szervezeti erőforrásokhoz hozzáférő eszköz és felhasználó számára.
Megfelelés
MetaDefender Az Access az iparág legátfogóbb eszközhelyzet-ellenőrzését végzi (15 ellenőrzési kategória), beleértve a kockázat- és sebezhetőségi értékelés végrehajtását. Több mint 35 000 CVE-t észlel, és több mint 150 harmadik féltől származó alkalmazást képes automatikusan javítani.
Hozzáférés-ellenőrzés
Miután MetaDefender Access biztosítja, hogy a végponti eszköz megfeleljen a követelményeknek és biztonságos legyen, a felhasználók egy integrált IAM (identitás-engedélyezési menedzsment) megoldáson keresztül kapnak engedélyt a hálózathoz való hozzáférésre. Ezután a Software meghatározott peremkertenSDP) keresztül kapnak hozzáférést a szervezeti erőforrásokhoz a legkisebb jogosultsági jogokkal rendelkező házirend alapján.
Láthatóság
A védelem még mélyebbre hatol. A MetaDefender Access segítségével az EXSI szoftver esetében a hackerek eleve nem tudnának csatlakozni, mivel a SDP mögött található erőforrások és alkalmazások láthatatlanok minden eszköz számára, így a hackerek nem is tudnák, hogy ott vannak. Továbbá, a SDP oldalon keresztül csak olyan megbízható eszközök férhetnek hozzá erőforrásokhoz, amelyek a fentiekben leírt szigorú jogszabályi megfelelőségi és biztonsági ellenőrzéseken estek át.
A szervezeteknek nem kell védtelenül állniuk, amikor a rosszindulatú szereplők kihasználnak egy sebezhetőséget. Alkalmazásaik és végpontjaik rendszeres foltozásával a szervezetek minimalizálhatják a támadások kockázatát, megelőzve a költséges zsarolóvírus incidenseket. Az olyan megoldások, mint az OPSWAT MetaDefender Access Zero-Trust Access platform lehetővé teszi a szervezetek számára, hogy a folyamatot szabályos, biztonságos és költséghatékony módon gyorsítsák fel.
Olvasson többet a MetaDefender Access Zero-Trust Access platformunkról.
