Linux version of Black Basta ransomware targets VMware ESXi servers

แรนซัมแวร์ Black Basta เวอร์ชัน Linux กำหนดเป้าหมายเซิร์ฟเวอร์ VMware ESXi

Black Basta เป็นแรนซัมแวร์ตัวล่าสุดที่เพิ่มการเข้ารหัส VMware ESXi virtual machine (VMs) ที่ทำงานบนเซิร์ฟเวอร์ Linux ขององค์กร

กลุ่มแรนซัมแวร์ส่วนใหญ่กําลังมุ่งเน้นไปที่การโจมตี ESXi VMs เนื่องจากวิธีการนี้สอดคล้องกับการกําหนดเป้าหมายในลักษณะองค์กร เนื่องจากทำให้สามารถใช้ประโยชน์จากการเข้ารหัสเซิร์ฟเวอร์หลายเครื่องได้เร็วขึ้นด้วยคําสั่งเพียงครั้งเดียว

การเข้ารหัสของแรนซัมแวร์กับ VM นั้นได้ผลเป็นอย่างมาก เนื่องจากหลายบริษัทมีการย้ายระบบไปยัง virtual machine เนื่องจากช่วยให้จัดการอุปกรณ์ได้ง่ายขึ้น และใช้ทรัพยากรอย่างมีประสิทธิภาพมากขึ้น

กลุ่มแรนซัมแวร์ Black Basta มุ่งเป้าไปที่เซิร์ฟเวอร์ ESXi (more…)

Ransomware BlackMatter เวอร์ชัน Linux มุ่งเป้าโจมตีไปยัง VMWare ESXi

Ransomware BlackMatter เวอร์ชัน Linux มุ่งเป้าโจมตีไปยัง VMWare ESXi

กลุ่ม BlackMatter ได้เข้าร่วมกลุ่มปฏิบัติการแรนซัมแวร์เพื่อพัฒนาตัวเข้ารหัสเวอร์ชัน Linux ที่กำหนดเป้าหมายไปยัง VMWare ESXi
องค์กรมีการเปลี่ยนไปใช้ Virtual Machine สำหรับเซิร์ฟเวอร์ของตนมากขึ้นเรื่อยๆ เพื่อการจัดการทรัพยากรที่ดีขึ้นและการกู้คืนระบบจากความเสียหาย เนื่องจาก VMware ESXi เป็นแพลตฟอร์ม Virtual Machine ที่ได้รับความนิยมมากที่สุด ทำให้ Ransomware ส่วนใหญ่เริ่มพัฒนาตัวเข้ารหัสที่มุ่งเป้าโจมตีไปที่ Virtual Machine กันมากขึ้น

BlackMatter มุ่งเป้าไปที่ VMware ESXi
เมื่อวันที่ 4 สิงหาคมที่ผ่านมา นักวิจัยด้านความปลอดภัย MalwareHunterTeam พบตัวเข้ารหัส Linux ELF64 [VirusTotal] ของกลุ่มแรนซัมแวร์ BlackMatter ที่กำหนดเป้าหมายเซิร์ฟเวอร์ไปยัง VMware ESXi โดยเฉพาะ โดยดูจากฟังก์ชันของการทำงาน

BlackMatter เป็นปฏิบัติการแรนซัมแวร์ที่ค่อนข้างใหม่ ซึ่งเริ่มต้นเมื่อเดือนที่แล้ว และเชื่อว่าเป็นการรีแบรนด์ของ DarkSide หลังจากที่นักวิจัยพบตัวอย่าง ก็พบว่าการทำงานเข้ารหัสที่ใช้โดย Ransomware นั้นเป็นแบบเดียวกับที่ใช้ใน DarkSide

DarkSide ปิดตัวลงหลังจากโจมตี และปิดระบบท่อส่งน้ำมันโคโลเนียล จึงทำให้ถูกกดดัน และไล่ล่าอย่างหนักจากการบังคับใช้กฎหมายระหว่างประเทศ และรัฐบาลสหรัฐฯ

จากตัวอย่างตัวเข้ารหัส Linux ของ BlackMatter ที่ BleepingComputer ได้รับมา เป็นที่ชัดเจนว่าได้รับการออกแบบมาโดยเฉพาะเพื่อกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ VMWare ESXi

Vitali Kremez ผู้เชี่ยวชาญของบริษัท Intel ซึ่งได้ลองทดสอบด้วยการ Reverse Engineering ได้ให้ข้อมูลกับทาง BleepingComputer ว่าผู้โจมตีได้สร้างไลบรารี 'esxi_utils' ที่ใช้ในการดำเนินการต่างๆ บนเซิร์ฟเวอร์ VMware ESXiรูปที่ 1.1 ตัวอย่าง แต่ละฟังก์ชัน

รูปที่ 1.2 ตัวอย่าง ฟังก์ชัน stop_firewall()

ในขณะที่ฟังก์ชัน stop_vm() จะดำเนินการคำสั่ง esxcli ต่อไปนี้ รูปที่ 1.3 ตัวอย่าง ฟังก์ชัน stop_vm()

Ransomware ทั้งหมดที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ ESXi พยายามปิดเครื่องเสมือนก่อนที่จะเข้ารหัสไดรฟ์ เพื่อป้องกันข้อมูลเสียหายขณะเข้ารหัส

เมื่อ VM ทั้งหมดถูกปิด มันจะเข้ารหัสไฟล์ที่ตรงกับนามสกุลไฟล์เฉพาะตามการกำหนดค่าที่มาพร้อมกับ Ransomware

การกำหนดเป้าหมายเซิร์ฟเวอร์ ESXi นั้นมีประสิทธิภาพมากเมื่อทำการโจมตีโดยใช้ Ransomware เนื่องจากช่วยให้ผู้คุกคามสามารถเข้ารหัสเซิร์ฟเวอร์จำนวนมากพร้อมกันด้วยคำสั่งเดียว

เมื่อมีธุรกิจจำนวนมากที่ย้ายไปยังแพลตฟอร์มประเภทนี้สำหรับเซิร์ฟเวอร์ เราจะยังคงเห็นนักพัฒนาแรนซัมแวร์มุ่งเน้นไปที่เครื่อง Windows เป็นหลัก แต่ยังสร้างตัวเข้ารหัสเวอร์ชัน Linux โดยเฉพาะซึ่งมุ่งเป้าไปยัง ESXi

Emsisoft CTO Fabian Wosar บอกกับ BleepingComputer ว่าปฏิบัติการ Ransomware อื่นๆ เช่น REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle ได้สร้างตัวเข้ารหัสเวอร์ชัน Linux เพื่อจุดประสงค์นี้เช่นกัน

ที่มา : Bleepingcomputer

VMware ออกแพตช์ฉบับแก้ไข หลังพบแพตช์ช่องโหว่ใน ESXi ไม่สมบูรณ์

VMware ออกประกาศเมื่อกลางอาทิตย์ที่ผ่านมาเกี่ยวกับแพตช์ใหม่แก้ไขแพตช์ที่ไม่สมบูรณ์ของช่องโหว่ CVE-2020-3992 ซึ่งเป็นช่องโหว่ use-after-free ในเซอร์วิส OpenSLP ของ ESXi ซึ่งส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายได้โดยไม่ต้องพิสูจน์ตัวตน อย่างไรก็ตามการโจมตีช่องโหว่นี้ก็มีเงื่อนไขที่แฮกเกอร์จะต้องอยู่ใน management network และต้องเข้าถึงพอร์ต 427 ของ ESXi เพื่อทำการโจมตี

ช่องโหว่ดังกล่าวถูกค้นพบในเดือนกรกฎาคมที่ผ่านมาและได้ถูกแพตช์ไปแล้วในรอบแพตช์เดือนตุลาคม อย่างไรก็ตาม VMware ตรวจพบว่าแพตช์ดังกล่าวนั้นไม่สมบูรณ์ซึ่งอาจทำให้ความเสี่ยงที่จะถูกโจมตียังมีอยู่ VMware จึงได้มีการออกแพตช์ใหม่ให้แก่ ESXi 6.5, 6.7 และ 7.0 โดยสำหรับ VMware Cloud Foundation แพตช์กำลังอยู่ในช่วงดำเนินการเผยแพร่

นอกเหนือจากแพตช์แก้ของช่องโหว่ CVE-2020-3992 แล้ว ในประกาศของ VMware รหัส VMSA-2020-0023.1 นั้น ยังมีอีกช่องโหว่อีก 5 ช่องโหว่ที่มีการถูกแพตช์ด้วย ดูรายละเอียดเพิ่มเติมได้จาก : vmware

ที่มา: securityweek

VMware Releases Security Updates for Multiple Products

VMware ออกเเพตซ์แก้ไขช่องโหว่ระดับ Critical จำนวน 6 รายการในผลิตภัณฑ์ ESXi, Workstation, Fusion และ NSX-T

VMware ได้ประกาศออกเเพตซ์แก้ไขช่องโหว่ระดับ Critical จำนวน 6 ช่องโหว่ในผลิตภัณฑ์ ESXi, Workstation, Fusion และ NSX-T โดยจาก 6 ช่องโหว่นี้ มีช่องโหว่ที่น่าสนใจคือ

ช่องโหว่ CVE-2020-3992 (CVSSv3: 9.8/10) เป็นช่องโหว่ประเภท use-after-free ที่ส่งผลกระทบต่อบริการ OpenSLP ใน ESXi โดยช่องโหว่นี้จะสามารถอนุญาตให้ผู้โจมตีจากระยะไกลเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต ทั้งนี้ผู้โจมตีที่จะสามารถใช้ประโยชน์ช่องโหว่นี้ได้ต้องอยู่ในเครือข่ายการจัดการและต้องสามารถเข้าถึงพอร์ต 427 บนเครื่อง ESXi ได้จึงจะสามารถช้ประโยชน์จากช่องโหว่ได้
ช่องโหว่ CVE-2020-3993 (CVSSv3: 7.5/10) เป็นช่องโหว่ที่เกิดจากการที่โฮสต์ KVM อนุญาตให้ดาวน์โหลดและติดตั้งแพ็กเกจจาก NSX manager ด้วยข้อบกพร่องนี้อาจทำให้ผู้โจมตีสามารถทำการ Man-in-the-middle attack (MitM) เพื่อโจมตี Transport Node
ช่องโหว่ CVE-2020-3994 (CVSSv3: 7.5/10) เป็นช่องโหว่ที่ทำให้สามารถ hijack เซสชัน vCenter Server ในฟังก์ชันของการอัปเดต
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : securityaffairs | vmware

VMware ออกอัปเดตความปลอดภัยใน ESXi และ vCenter

VMware ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ใน ESXi และ vCenter
เพื่อแก้ไขช่องโหว่ CVE-2017-16544, CVE-2019-5531, CVE-2019-5532 และ CVE-2019-5534 แนะนำให้ผู้ใช้และผู้ดูแลระบบงานเข้าไปอ่าน VMware Security Advisory VMSA-2019-0013 และให้ทำการอัปเดตเพื่อแก้ไขปัญหาช่องโหว่เหล่านี้

ที่มา us-cert

VMWARE PATCHES BUG THAT ALLOWS GUEST TO EXECUTE CODE ON HOST

ผู้ใช้ที่ใช้งาน VMware ได้แก่ ESXi, vCenter Server, Fusion และ Workstation แนะนำให้ทำการอัพเดทเพื่อปรับปรุง และแก้ไขปัญหาช่องโหว่ต่างๆที่พบ
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ Out-of-bounds ที่เกิดจากการเขียนข้อมูล ส่งผลกระทบกับ ESXi, desktop hypervisors Workstation และ Fusion ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาที่มีอยู่ในอุปกรณ์ SVGA เพื่อรันโค้ดบนเครื่องโฮสต์ได้ ช่องโหว่ CVE-2017-4924 นี้ถูกค้นพบโดยนักวิจัย Nico Golde และ Ralf-Philipp Weinmann จาก Comsecuris UG ซึ่งกระทบต่อเวอร์ชัน 6.5 ของ ESXi และไม่ส่งผลต่อเวอร์ชัน 6.0 และ 5.5 นอกจากนี้ยังมีผลกระทบต่อเวอร์ชัน 12.x ของ Workstation และเวอร์ชัน 8.x ของ Fusion และถูกจัดเป็นช่องโหว่ระดับรุนแรง(Critical) เนื่องจากผู้โจมตีสามารถใช้ช่องโหว่ในการสั่งรันโค้ด และทำให้เครื่องเกิดการ Crash ได้
ช่องโหว่ระดับความรุนแรงปานกลางมีผลกระทบต่อเวอร์ชัน 6.5, 6.0 และ 5.5 ของ ESXi, เวอร์ชัน 12.x ของ Workstation และ 8.x ของ Fusion ซึ่งควรถูกแพทช์เพื่อปิดช่องโหว่ เนื่องจากยังไม่มีวิธีใดที่สามารถหลีกเลี่ยงช่องโหว่ดังกล่าวได้ และช่องโหว่สุดท้ายที่ VMware เตือนเมื่อวันศุกร์มีผลต่อ vCenter Server ซึ่งเป็นแพลตฟอร์มที่ออกแบบมาเพื่อช่วยผู้ใช้ในการจัดการ vSphere ผู้โจมตีที่มีสิทธิ์ของผู้ใช้เป็น VC สามารถรัน JavaScript ที่เป็นอันตรายและใช้ช่องโหว่ cross-site scripting ใน HTML5. ช่องโหว่นี้มีผลกระทบต่อ vCenter Server เวอร์ชั่น 6.5 ที่เป็น Windows เท่านั้น โดยผู้ใช้ควรอัพเดตเป็นเวอร์ชัน 6.5 U1

ที่มา : threatpost