آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) اسکریپت جدیدی را منتشر کرده است که به قربانیان باج افزار کمک می کند تا ماشین های مجازی VMware (VM) را که تحت تأثیر یک کمپین جهانی فعلی قرار گرفته اند، بازیابی کنند.
ردیاب پرداخت باجافزار Ransomwhere بر اساس تلاشهای اسکن «در سراسر اینترنت» در روز دوشنبه، تعداد قربانیان را 3800 نفر تخمین زد. این سازمان گفت که چهار پرداخت به مبلغ 88000 دلار انجام شده است، اگرچه این احتمالاً مقیاس کمپین را دست کم می گیرد.
گزارشهای اولیه از CERT در سطح کشور ادعا میکنند که عوامل تهدید در پشت آن از CVE-2021-21974 سوء استفاده میکنند، یک باگ قدیمی که به مهاجمان امکان میدهد تا با ایجاد یک مشکل سرریز پشته در OpenSLP، اجرای کد از راه دور را بر روی هایپروایزرهای ESXi VMware انجام دهند.
با این حال، یک بهروزرسانی از VMware ادعا میکند که «محصولات قدیمی بهطور قابل توجهی با آسیبپذیریهای شناختهشده هدف قرار میگیرند» که نشان میدهد بیش از یک آسیبپذیری در حال سوءاستفاده است.
در این بیانیه آمده است: «با در نظر گرفتن این موضوع، به مشتریان توصیه میکنیم که برای رفع آسیبپذیریهای شناختهشده در حال حاضر، به آخرین نسخههای پشتیبانیشده موجود از مؤلفههای vSphere ارتقا دهند». علاوه بر این، VMware غیرفعال کردن سرویس OpenSLP در ESXi را توصیه کرده است. در سال 2021، ESXi 7.0 U2c و ESXi 8.0 GA با غیرفعال شدن این سرویس به طور پیشفرض شروع به ارسال کردند.
اکنون CISA ابزاری را برای کمک به کاربران در معرض خطر برای بازیابی VMهای خود رونمایی کرده است.
بر اساس یافتههای محققان Enes Sonmez و Ahmet Aykac، این اسکریپت با بازسازی ابرداده VM از دیسکهای مجازی که توسط باجافزار رمزگذاری نشده بودند، کار میکند.
هر سازمانی که به دنبال استفاده از اسکریپت بازیابی ESXiArgs CISA است، باید اسکریپت را به دقت بررسی کند تا تعیین کند که آیا برای محیط خود مناسب است یا خیر. CISA توضیح داد: این اسکریپت به دنبال حذف فایل های پیکربندی رمزگذاری شده نیست، بلکه به دنبال ایجاد فایل های پیکربندی جدید است که امکان دسترسی به VM ها را فراهم می کند.
«در حالی که CISA برای اطمینان از ایمن و مؤثر بودن اسکریپتهایی مانند این کار میکند، این اسکریپت بدون ضمانت، چه ضمنی یا صریح، ارائه میشود. از این اسکریپت بدون درک اینکه چگونه ممکن است روی سیستم شما تأثیر بگذارد استفاده نکنید.
