IxMetro Powerhost ผู้ให้บริการศูนย์ข้อมูล และโฮสติ้งจากประเทศชิลี ได้ตกเป็นเหยื่อของการโจมตีทางไซเบอร์จากกลุ่ม Ransomware ใหม่ที่รู้จักกันในชื่อ SEXi ซึ่งมีความสามารถในการเข้ารหัสเซิร์ฟเวอร์ VMware ESXi และการสำรองข้อมูลของบริษัท

PowerHost คือบริษัทที่ทำธุรกิจทางด้านด้าน Data center, โฮสติ้ง และ interconnectivity ซึ่งมีสถานที่ตั้งในสหรัฐอเมริกา อเมริกาใต้ และยุโรป

เมื่อวันจันทร์ที่ผ่านมา (1 เมษายน 2024) IxMetro แจ้งให้ลูกค้าทราบว่าได้ถูกโจมตีด้วย Ransomware เมื่อวันเสาร์ที่ 30 มีนาคม 2024 โดยได้ถูกเข้ารหัสเซิร์ฟเวอร์ VMware ESXi ของบริษัทบางส่วนที่ใช้เป็น virtual private servers สำหรับลูกค้า ทำให้ลูกค้าที่โฮสต์เว็บไซต์ หรือบริการของตนบนเซิร์ฟเวอร์เหล่านี้ประสบปัญหา ขณะที่บริษัท PowerHost กำลังพยายามกู้คืนข้อมูลขนาดหลาย terabytes จากการสำรองข้อมูล (more…)

ช่องโหว่ดังกล่าว (CVE-2021-21982) มีความรุนแรงระดับ critical ได้รับคะแนน CVSS 9.1 จาก 10 ส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยไม่ต้องพิสูจน์ตัวตน (authentication bypass) Carbon Black Cloud Workload เป็นผลิตภัณฑ์ Data Center ที่มีความสามารถด้าน security มาด้วย หากผู้โจมตีสามารถเข้าถึงหน้า URL สำหรับเข้าสู่ระบบของผู้ดูแลได้ ก็จะสามารถโจมตีเพื่อรับ authentication token และสามารถใช้งาน API ของผลิตภัณฑ์ได้

VMware Carbon Black Cloud Workload appliance เวอร์ชั่น 1.0.1 และก่อนหน้านั้น คือเวอร์ชั่นที่ได้รับผลกระทบ ควรอัพเดตเป็นเวอร์ชั่น 1.0.2

ที่มา: securityaffairs, vmware