해커가 서버를 대상으로 하고 랜섬웨어를 유포하는 데 사용하는 패치되지 않은 VMWare 취약점

VMWare의 ESXi 서버에 존재하는 패치되지 않은 소프트웨어 버그가 전 세계에 랜섬웨어를 퍼뜨리려는 목표를 가진 해커에 의해 악용되고 있습니다.

패치되지 않은 VMWare 서버가 해커에 의해 남용됨

VMWare의 ESXi 서버에 존재하는 2년 된 소프트웨어 취약점이 광범위한 해킹 캠페인의 대상이 되었습니다. 공격의 목적은 새로운 랜섬웨어 변종인 ESXiArgs를 배포하는 것입니다. 수백 개의 조직이 영향을 받은 것으로 추정됩니다.

프랑스 컴퓨터 비상 대응팀(CERT)은 2월 3일 공격의 성격에 대해 논의하는 성명을 게시했습니다. CERT 게시물 에는 캠페인이 “충분히 빠르게 보안 패치로 업데이트되지 않은 ESXi 하이퍼바이저의 노출을 활용한 것 같다”고 기록되어 있습니다. CERT는 또한 대상이 되는 버그가 “공격자가 원격 임의 코드 익스플로잇.”

조직은 이 랜섬웨어 작업의 희생양이 되지 않도록 하이퍼바이저 취약점을 패치해야 합니다. 그러나 CERT는 앞서 언급한 성명서에서 “제품이나 소프트웨어 업데이트는 주의해서 수행해야 하는 섬세한 작업”이며 “가능한 한 테스트를 수행하는 것이 좋습니다”라고 독자들에게 상기시켰습니다.

VMWare도 상황에 대해 언급했습니다.

CERT 및 기타 다양한 엔티티와 함께 ​​VMWare도 이 글로벌 공격에 대한 게시물을 발표했습니다. VMWare 권고 에서는 서버 취약점(CVE-2021-21974로 알려짐)이 악의적 행위자에게 “원격 코드 실행을 초래하는 OpenSLP 서비스의 힙 오버플로 문제를 트리거”할 수 있는 능력을 부여할 수 있다고 기록되었습니다.

VMWare는 또한 2021년 2월에 이 취약점에 대한 패치를 발표했으며, 이는 악의적인 운영자의 공격 벡터를 차단하여 표적이 되는 것을 방지하는 데 사용할 수 있습니다.

이 공격은 State-Run이 아닌 것으로 보입니다.

이 캠페인에서 공격자의 신원은 아직 알려지지 않았지만 이탈리아 국가 사이버 보안국(ACN)은 현재 공격이 국가 기관에 의해 수행되었다는 증거가 없다고 밝혔습니다( Reuters 보고 ). 다양한 이탈리아 조직과 프랑스, ​​미국, 독일 및 캐나다의 조직이 이 공격의 영향을 받았습니다.

BlackCat, Agenda 및 Nokoyawa와 같은 다양한 랜섬웨어 계열의 소프트웨어를 고려하여 누가 이 캠페인을 담당할 수 있는지에 대한 제안이 제공되었습니다. 운영자의 신원을 밝힐 수 있는지 여부는 시간이 알려줄 것입니다.

랜섬웨어 공격은 계속해서 큰 위험을 초래합니다.

시간이 지남에 따라 점점 더 많은 조직이 랜섬웨어 공격의 희생양이 되고 있습니다. 이 유형의 사이버 범죄는 악의적인 행위자 사이에서 엄청나게 인기를 얻었으며 이 글로벌 VMWare 해킹은 그 결과가 얼마나 광범위할 수 있는지 보여줍니다.