Un val recent de atacuri ransomware este alimentat de o vulnerabilitate VMWare veche de doi ani. Atacurile au afectat mii de organizații din întreaga lume, în special din Europa și America de Nord.
Sosesc rapoarte din întreaga lume despre un nou ransomware numit EXSIArgs. Prin exploatarea unei vulnerabilități vechi de doi ani în software-ul hypervisor EXSI, actorii răi sunt capabili să șteargă fișiere importante din sistemul stațiilor de lucru infectate. Mai mult de 3.200 de servere VMWare au fost afectate la 6 februarie 2023.
Incidentul a atras reacții imediate din partea autorităților din zonele afectate. Un purtător de cuvânt al Agenției americane pentru securitatea cibernetică și a infrastructurii, cunoscută și sub numele de CISA, a anunțat că organizația este la curent cu problema. CISA colaborează intensiv cu parteneri publici și privați pentru a evalua impactul atacurilor și pentru a oferi asistență acolo unde este necesar. Agenția Națională de Securitate Cibernetică din Italia a emis, de asemenea, avertismente către organizații, îndemnându-le să ia măsuri imediate.
Cum s-a întâmplat
Acest atac a început cu o vulnerabilitate veche de doi ani în serverele VMWare EXSI. EXSI este o tehnologie pe care compania o folosește pentru a găzdui și coordona mai multe mașini pe un singur server. Vulnerabilitatea în cauză este legată de serviciul OpenSLP, care este disponibil pe versiunile mai vechi ale EXSI. Dacă actorii rău intenționați exploatează această vulnerabilitate, ar putea executa un cod care șterge fișiere de pe sistemul dumneavoastră.
Totuși, această vulnerabilitate nu este una necunoscută. Ea a fost dezvăluită în 2021 și a fost urmărită ca CVE-2021-21974. Compania a recomandat ca organizațiile să înceapă să își actualizeze componentele vSphere la cele mai recente versiuni, deoarece acestea conțin patch-ul pentru această vulnerabilitate.
Vulnerabilități: Pumnale ascunse
Actorii rău intenționați folosesc de mult timp vulnerabilitățile software, cu câteva cazuri deosebit de cunoscute, cum ar fi CVE-2018-8174, cunoscut și sub numele de Double Kill, și exploit-ul ProxyLogon. Deoarece vulnerabilitățile pot fi puncte de intrare pentru programele malware, experții recomandă ca acestea să fie corectate imediat ce este disponibilă o actualizare.
Reglementările guvernamentale și de altă natură privind vulnerabilitățile devin din ce în ce mai frecvente și mai stricte. De exemplu, în octombrie 2022, CISA, menționată anterior, a emis o directivă operațională obligatorie (BOD 23-01) pentru îmbunătățirea vizibilității activelor și vulnerability detection în rețelele federale. Până la 3 aprilie 2023, toate agențiile federale trebuie să se conformeze necesității de a efectua descoperirea automată a activelor la fiecare 7 zile și de a iniția enumerarea vulnerabilităților în toate activele descoperite (inclusiv punctele finale, cum ar fi laptopurile) la fiecare 14 zile.
Deși este esențial pentru toate organizațiile și este acum obligatoriu pentru agențiile federale, nu înseamnă că este o sarcină ușoară. Organizațiile pot avea chiar și mii de dispozitive care trebuie actualizate în același timp și, de asemenea, este un efort colosal să se asigure că fiecare dispozitiv este actualizat. Nu uitați că un singur dispozitiv infectat poate declanșa un lanț de infecții care provoacă o încălcare masivă a datelor.
Cum SDP și Zero-Trust vă pot proteja rețeaua
OPSWAT MetaDefender Access Zero-Trust Access Platform este o soluție cuprinzătoare care asigură conformitatea, vizibilitatea și controlul securității pentru fiecare dispozitiv și utilizator care accesează resursele organizației.
Conformitate
MetaDefender Access efectuează cea mai cuprinzătoare verificare a poziției dispozitivelor din industrie (15 categorii de verificări), inclusiv o evaluare a riscurilor și vulnerabilităților. Acesta detectează peste 35.000 de CVE-uri și poate aplica automat patch-uri la peste 150 de aplicații terțe.
Controlul accesului
După ce MetaDefender Access se asigură că dispozitivul terminal este conform și sigur, utilizatorii sunt autorizați să acceseze rețeaua prin intermediul unei soluții integrate IAM (identity authorization management). Aceștia vor avea apoi acces prin intermediul unui perimetru definit de Software SDP) la resursele organizației pe baza unei politici de privilegii minime.
Vizibilitate
Protecția este și mai profundă. Cu MetaDefender Access, în cazul software-ului EXSI, hackerii nu vor putea niciodată să se conecteze la acesta, deoarece resursele și aplicațiile din spatele SDP sunt invizibile pentru toate dispozitivele; astfel, hackerii nu vor ști niciodată că se află acolo. În plus, numai dispozitivele de încredere care au trecut prin verificări riguroase de conformitate și securitate, așa cum s-a descris mai sus, pot accesa resursele prin intermediul SDP.
Organizațiile nu trebuie să fie lipsite de apărare atunci când actorii rău intenționați exploatează o vulnerabilitate. Prin aplicarea regulată de patch-uri la aplicațiile și punctele finale, organizațiile pot minimiza riscul atacurilor, prevenind incidentele costisitoare de ransomware. Soluții precum OPSWAT MetaDefender Accesul la platforma Zero-Trust Access permit organizațiilor să accelereze acest proces într-un mod conform, sigur și rentabil.
Citiți mai multe despre platformaMetaDefender Access Zero-Trust Access.
