Một làn sóng tấn công ransomware gần đây được cung cấp bởi một lỗ hổng VMWare hai năm tuổi. Các cuộc tấn công đã ảnh hưởng đến hàng ngàn tổ chức trên khắp thế giới, đặc biệt là ở châu Âu và Bắc Mỹ.
Các báo cáo đang đến từ khắp nơi trên thế giới về một ransomware mới được gọi là EXSIArgs. Bằng cách khai thác lỗ hổng hai năm tuổi trong phần mềm hypervisor EXSI, kẻ xấu có thể xóa các tệp quan trọng trong hệ thống máy trạm bị nhiễm. Hơn 3.200 máy chủ VMWare đã bị ảnh hưởng tính đến ngày 6/2/2023.
Vụ việc đã thu hút phản ứng ngay lập tức từ chính quyền ở các khu vực bị ảnh hưởng. Người phát ngôn của Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ, còn được gọi là CISA, tuyên bố rằng tổ chức này đã biết về vấn đề này. CISA đang làm việc rộng rãi với các đối tác tư nhân và công cộng để đánh giá tác động của các cuộc tấn công và cung cấp hỗ trợ khi cần thiết. Cơ quan An ninh mạng Quốc gia Italy cũng đã đưa ra cảnh báo cho các tổ chức, kêu gọi họ hành động ngay lập tức.
Nó đã xảy ra như thế nào
Cuộc tấn công này bắt đầu với một lỗ hổng hai năm tuổi trong các máy chủ VMWare EXSI. EXSI là một công nghệ mà công ty sử dụng để lưu trữ và điều phối nhiều máy trên một máy chủ duy nhất. Lỗ hổng được đề cập có liên quan đến Dịch vụ OpenSLP, có sẵn trên các phiên bản cũ hơn của EXSI. Nếu các tác nhân độc hại khai thác lỗ hổng này, chúng có thể thực thi mã xóa các tệp trên hệ thống của bạn.
Tuy nhiên, lỗ hổng này không phải là một lỗ hổng chưa biết. Nó được tiết lộ vào năm 2021 và đã được theo dõi là CVE-2021-21974. Công ty khuyến nghị các tổ chức nên bắt đầu cập nhật các thành phần vSphere của họ lên các phiên bản mới nhất, vì chúng chứa bản vá cho lỗ hổng này.
Lỗ hổng: Dao găm ẩn
Các tác nhân độc hại đã sử dụng lỗ hổng phần mềm trong một thời gian dài, với một số trường hợp đặc biệt khét tiếng như CVE-2018-8174, còn được gọi là Double Kill, và khai thác ProxyLogon . Vì các lỗ hổng có thể là điểm xâm nhập của phần mềm độc hại, các chuyên gia khuyên chúng nên được vá ngay khi có bản cập nhật.
Chính phủ và các quy định khác liên quan đến lỗ hổng đang trở nên phổ biến và nghiêm ngặt hơn. Ví dụ, vào tháng 10 năm 2022, CISA nói trên đã ban hành Chỉ thị hoạt động ràng buộc (BOD 23-01) để cải thiện khả năng hiển thị tài sản và vulnerability detection trên các mạng Liên bang. Đến ngày 3 tháng 4 năm 2023, tất cả các cơ quan Liên bang được yêu cầu tuân thủ nhu cầu thực hiện phát hiện tài sản tự động cứ sau 7 ngày và bắt đầu liệt kê lỗ hổng trên tất cả các tài sản được phát hiện (bao gồm cả các điểm cuối như máy tính xách tay) cứ sau 14 ngày.
Mặc dù cần thiết cho tất cả các tổ chức và hiện được yêu cầu đối với các Cơ quan Liên bang, nhưng điều đó không có nghĩa là đây là một nhiệm vụ dễ dàng. Các tổ chức có thể có tới hàng ngàn thiết bị cần được cập nhật cùng một lúc và đó cũng là một nỗ lực khổng lồ để đảm bảo mọi thiết bị đều được cập nhật. Hãy nhớ rằng, chỉ một thiết bị bị nhiễm có thể gây ra một chuỗi lây nhiễm gây ra vi phạm dữ liệu lớn.
Thế nào SDP và Zero-Trust có thể bảo vệ mạng của bạn
OPSWAT's MetaDefender Access Zero-Trust Access Platform là một giải pháp toàn diện cung cấp khả năng tuân thủ, hiển thị và kiểm soát bảo mật cho mọi thiết bị và người dùng truy cập tài nguyên của tổ chức.
Tuân thủ
MetaDefender Access tiến hành kiểm tra tư thế thiết bị toàn diện nhất trong ngành (15 loại kiểm tra), bao gồm thực hiện đánh giá rủi ro và lỗ hổng. Nó phát hiện hơn 35.000 CVE và có thể tự động vá hơn 150 ứng dụng của bên thứ ba.
Kiểm soát truy cập
Sau đó MetaDefender Access đảm bảo rằng thiết bị đầu cuối vừa tuân thủ vừa an toàn, người dùng được phép truy cập mạng thông qua giải pháp IAM (quản lý ủy quyền danh tính) tích hợp. Sau đó, họ sẽ được cấp quyền truy cập thông qua Software Chu vi xác định ( SDP ) cho các nguồn lực của tổ chức dựa trên chính sách đặc quyền tối thiểu.
Tầm nhìn
Sự bảo vệ thậm chí còn sâu sắc hơn. Với MetaDefender Truy cập, trong trường hợp phần mềm EXSI, tin tặc sẽ không bao giờ có thể kết nối với nó ngay từ đầu vì tài nguyên và ứng dụng đằng sau SDP vô hình đối với tất cả các thiết bị; Do đó, tin tặc sẽ không bao giờ biết họ đang ở đó. Hơn nữa, chỉ những thiết bị đáng tin cậy đã trải qua quá trình kiểm tra tuân thủ và bảo mật nghiêm ngặt như được mô tả ở trên mới có thể truy cập tài nguyên thông qua SDP.
Các tổ chức không cần phải không có khả năng tự vệ khi các tác nhân độc hại khai thác lỗ hổng. Bằng cách thường xuyên vá các ứng dụng và điểm cuối của họ, các tổ chức có thể giảm thiểu nguy cơ bị tấn công, ngăn chặn các sự cố ransomware tốn kém. Các giải pháp như OPSWAT MetaDefender Truy cập nền tảng Truy cập Zero-Trust cho phép các tổ chức tăng tốc quy trình theo cách tuân thủ, an toàn và tiết kiệm chi phí.
Đọc thêm về MetaDefender Truy cập nền tảng Zero-Trust Access.
