أدى انفجار الهجمات الإلكترونية إلى إصابة الخوادم في جميع أنحاء العالم ببرامج الفدية المعطلة من خلال استغلال ثغرة أمنية تم تصحيحها قبل عامين ، حسبما أفادت التقارير على نطاق واسع يوم الاثنين.
تستغل الاختراقات عيبًا في ESXi ، حيث يقوم برنامج VMware Hypervisor ببيعه إلى المضيفين السحابيين والمؤسسات الكبيرة الأخرى لتوحيد موارد أجهزتهم. ESXi هو ما يُعرف بالمعدن العاري ، أو النوع 1 ، hypervisor ، مما يعني أنه في الأساس نظام التشغيل الخاص به والذي يعمل مباشرة على أجهزة الخادم. على النقيض من ذلك ، تعمل الخوادم التي تقوم بتشغيل فئة Type 2 الأكثر شيوعًا من برامج Hypervisor ، مثل VirtualBox الخاص بـ VMware ، كتطبيقات أعلى نظام تشغيل مضيف. تقوم برامج Hypervisor من النوع 2 بتشغيل الأجهزة الافتراضية التي تستضيف أنظمة تشغيل الضيف الخاصة بها مثل Windows أو Linux أو ، بشكل أقل شيوعًا ، macOS.
أدخل ESXiArgs
تشير التقارير الإرشادية التي نشرتها مؤخرًا فرق الاستجابة للطوارئ الحاسوبية (CERT) في فرنسا وإيطاليا والنمسا إلى حملة “ضخمة” بدأت في موعد أقصاه يوم الجمعة واكتسبت زخمًا منذ ذلك الحين. نقلاً عن نتائج البحث في التعداد ، قال مسؤولو CERT في النمسا إنه حتى يوم الأحد ، كان هناك أكثر من 3200 خادم مصاب ، بما في ذلك ثمانية في ذلك البلد.
كتب المسؤولون: “نظرًا لأن خوادم ESXi توفر عددًا كبيرًا من الأنظمة كأجهزة افتراضية (VM) ، يمكن توقع عدد مضاعف من هذا العدد من الأنظمة الفردية المتأثرة”.
الثغرة الأمنية التي يتم استغلالها لإصابة الخوادم هي CVE-2021-21974 ، والتي تنبع من تجاوز سعة المخزن المؤقت المستند إلى الكومة في OpenSLP ، وهو معيار اكتشاف شبكة مفتوح مدمج في ESXi. عندما قامت شركة VMware بتصحيح الثغرة الأمنية في فبراير 2021 ، حذرت الشركة من أنه قد يتم استغلالها من قبل جهة فاعلة ضارة لديها إمكانية الوصول إلى نفس شريحة الشبكة عبر المنفذ 427. كان للثغرة الأمنية تصنيف خطورة يبلغ 8.8 من أصل 10. إثبات المفهوم أصبحت تعليمات برمجية الاستغلال وإرشادات استخدامها متاحة بعد بضعة أشهر.
خلال عطلة نهاية الأسبوع ، قال مضيف السحابة الفرنسية OVH إنه لا يملك القدرة على تصحيح الخوادم الضعيفة التي أنشأها عملاؤه.
كتب Julien Levrard ، كبير مسؤولي أمن المعلومات في OVH: “لا يمكن تثبيت ESXi OS إلا على خوادم معدنية عارية”. “لقد أطلقنا العديد من المبادرات لتحديد الخوادم المعرضة للخطر ، استنادًا إلى سجلات التشغيل الآلي لدينا لاكتشاف تثبيت ESXI من قبل عملائنا. لدينا وسائل محدودة للعمل لأنه ليس لدينا وصول منطقي إلى خوادم عملائنا “.
في غضون ذلك ، منعت الشركة الوصول إلى المنفذ 427 وتقوم أيضًا بإخطار جميع العملاء الذين تحددهم على أنهم يشغلون خوادم ضعيفة.
قال ليفرارد إن برامج الفدية المثبتة في الهجمات تقوم بتشفير ملفات الآلة الافتراضية ، بما في ذلك تلك التي تنتهي بـ .vmdk و. vmx و. vmxf و. vmsd و. vmsn و. vswp و. vmss و. nvram و. vmem. ثم يحاول البرنامج الضار إلغاء قفل الملفات عن طريق إنهاء عملية تعرف باسم VMX. لا تعمل الوظيفة بالشكل الذي أراده مطوروها ، مما يؤدي إلى بقاء الملفات مقفلة.
أطلق الباحثون على الحملة وبرامج الفدية وراءها اسم ESXiArgs لأن البرنامج الضار ينشئ ملفًا إضافيًا بامتداد “.args” بعد تشفير مستند. يخزن ملف .args البيانات المستخدمة لفك تشفير البيانات المشفرة.
أفاد باحثون من فريق YoreGroup Tech ، Enes Sonmez و Ahmet Aykac ، أن عملية التشفير لـ ESXiArgs يمكن أن ترتكب أخطاء تسمح للضحايا باستعادة البيانات المشفرة. قال ليفرارد من OVH إن فريقه اختبر عملية الاستعادة التي وصفها الباحثون ووجدوها ناجحة في حوالي ثلثي المحاولات.
يجب على أي شخص يعتمد على ESXi التوقف عن كل ما يفعله والتحقق للتأكد من تثبيت تصحيحات CVE-2021-21974. توفر الإرشادات المرتبطة أعلاه أيضًا المزيد من الإرشادات لإغلاق الخوادم التي تستخدم برنامج Hypervisor هذا.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.