Forescout раскрывает подробности атаки на ESXi

229

По данным компании, поисковая система Shodan выявила около 85 000 серверов ESXi, размещенных в Интернете по состоянию на 24 февраля 2023 года, из которых около 17 000 отслеживаются с помощью облака устройств Forescout.

3 февраля 2023 года CERT-FR выпустил предупреждение о кампании атаки, нацеленной на гипервизоры VMware ESXi, уязвимые для CVE-2021-21974 с целью развертывания программ-вымогателей.

Эта уязвимость удаленного запуска кода использовалась в сочетании с фишингом или социальной инженерией для запуска атак программ-вымогателей на уязвимые серверы ESXi.

“);



Используемые семейства программ-вымогателей включали ESXiArgs, Royal и Cl0p.

В соответствии с Предсказатель«Неуправляемые устройства, такие как серверы ESXi, являются отличной мишенью для злоумышленников-вымогателей. Это связано с ценными данными на этих серверах, растущим числом эксплуатируемых уязвимостей, затрагивающих их, их частым выходом в Интернет и сложностью реализации мер безопасности, таких как обнаружение конечных точек и реагирование (EDR) на этих устройствах. ESXi является высокодоходной целью для злоумышленников, поскольку на нем размещается несколько виртуальных машин, что позволяет злоумышленникам развернуть вредоносное ПО один раз и зашифровать множество серверов с помощью одной команды».

В нем говорится, что организациям, использующим виртуализацию, необходимо понимать, что серверы, на которых размещены виртуальные машины, и сами виртуальные машины являются частью расширенной поверхности атаки, которая часто не покрывается EDR и другими традиционными решениями безопасности, что делает их слепым пятном в сети.

Рекомендуемые меры включают обновление ESXi до последней версии; отключение ненужных служб; ужесточение паролей и включение многофакторной аутентификации; мониторинг дискуссий об утечке учетных данных на подпольных рынках; обеспечение того, чтобы гипервизор ESXi не был доступен в общедоступном Интернете; ограничение связи между серверами и остальной частью сети путем ограничения разрешенных адресов и портов с помощью собственных настроек и/или списков контроля доступа брандмауэра; мониторинг сетевого трафика на наличие аномальной активности; и создание резервных копий для восстановления вне среды ESXi, чтобы обеспечить восстановление в случае атаки.

Доступен полный брифинг угроз Forescout здесь.

Forescout раскрывает подробности атаки на ESXi
Forescout раскрывает подробности атаки на ESXi
Читать полную новость на сайте