29 พฤษภาคม 2567 | สืบสาย โสดานิล
CERT-FR ได้ออกคำเตือนเกี่ยวกับแคมเปญการโจมตีที่กำหนดเป้าหมายไปที่ Hypervisors VMware ESXi ที่มีช่องโหว่ CVE-2021-21974 โดยมีเป้าหมายในการปรับใช้ Ransomware ตามข้อมูลของ Censys โดยการติดเชื้อครั้งแรกของแคมเปญนี้เกิดขึ้นในวันที่ 12 ตุลาคม 2565 เซิร์ฟเวอร์ที่ติดมัลแวร์ส่วนใหญ่อยู่ในยุโรป (โดยฝรั่งเศสเป็นประเทศที่ได้รับผลกระทบมากที่สุด) ตามด้วยสหรัฐอเมริกาและเกาหลีใต้
ผู้โจมตีในแคมเปญนี้ใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) (รายงานในเดือนกุมภาพันธ์ 2564 เป็น CVE-2021-21974 โดยมีคะแนน CVSS 8.8) ซึ่งอนุญาตให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถใช้ประโยชน์จาก heap overflow ในบริการ OpenSLP ของ ESXi ได้ ผู้โจมตีสามารถใช้ประเภทการโจมตีแบบ Phishing หรือ Social Engineer เพื่อเข้าถึงเครือข่ายที่มีเซิร์ฟเวอร์ ESXi ที่มีช่องโหว่ซึ่งสามารถถูกโจมตีได้ VMware ESXi ซึ่งเป็นเทคโนโลยีเซิร์ฟเวอร์เสมือน ได้กลายเป็นเป้าหมายสำคัญของกลุ่มแรนซัมแวร์ในช่วงไม่กี่ปีที่ผ่านมา เนื่องจากมีข้อมูลที่มีค่า และช่องโหว่ที่ถูกเปิดเผยมากขึ้น รวมถึงการเชื่อมต่ออินเทอร์เน็ตที่บ่อยครั้ง และความยากในการติดตั้งมาตรการรักษาความปลอดภัย เช่น EDR บนอุปกรณ์เหล่านี้
ESXi เป็นเป้าหมายที่ให้ผลตอบแทนสูงสำหรับผู้โจมตี เนื่องจากเป็นโฮสต์ของ VMs หลายเครื่อง ทำให้ผู้โจมตีสามารถปรับใช้มัลแวร์เพียงครั้งเดียวและเข้ารหัสเซิร์ฟเวอร์จำนวนมากได้ด้วยคำสั่งเดียว การโจมตีในอดีตจำนวนมากใช้ประโยชน์จากช่องโหว่ที่รู้จักและปรับใช้เพย์โหลด Ransomware อย่างไรก็ตาม องค์กรเหล่านี้ต้องตระหนักว่าทั้งเซิร์ฟเวอร์ที่โฮสต์ VMs ซึ่งมักจะไม่ได้รับการคุ้มครองโดย EDR และโซลูชันความปลอดภัยแบบดั้งเดิมอื่นๆ ทำให้เป็นจุดบอดบนเครือข่าย
Ransomware เป็นเพียงส่วนหนึ่งของภัยคุกคามสำหรับโครงสร้างพื้นฐานเสมือนจริง นอกเหนือจากที่เรากล่าวถึงในรายงานนี้ ยังมีการโจมตีที่รู้จักโดยใช้แบ็คดอร์ Python แบบกำหนดเองบนเซิร์ฟเวอร์ ESXi, APT ที่กำหนดเป้าหมายช่องโหว่ Log4shell บน VMware Horizon, เครื่องมือโจมตีที่พัฒนาขึ้นเฉพาะสำหรับ ESXi
แนวทางการตรวจจับ
ผู้คุกคามทางไซเบอร์กำลังค้นหาวิธีการใหม่ๆ ในการโจมตีและบุกรุกเครือข่าย และสอดคล้อง เราได้เห็นการเพิ่มขึ้นของการโจมตีบนแพลตฟอร์ม virtualization เช่น VMware vSphere ซึ่งรวมถึง แคมเปญ ransomware ESXiArgs, Royal Ransomware ที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Linux ESXi กลุ่ม RTM Locker ที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ ESXi และกลุ่ม Ransomware Black Basta ซึ่งขณะนี้กำหนดเป้าหมายไปยัง ESXi hosts, โดยจากการตรวจสอบพบ Blackdoor ภาษา Python ที่ตรวจพบในเซิร์ฟเวอร์ ESXi, การโจมตีด้วย Ransomware เพิ่มขึ้นสามเท่า โดยกำหนดเป้าหมายไปที่ ESXi, แบ็คดอร์ VIRTUALPITA & VIRTUALPIE ที่ตรวจพบใน ESXi โดย Mandiant เป็นต้น
ช่องโหว่ที่ถูกโจมตี: CVE-2021-21974 (ช่องโหว่การเรียกใช้โค้ดระยะไกล) และ CVE-2021-21973 (ช่องโหว่การยกระดับสิทธิ์) เป็นจุดอ่อนที่ถูกใช้ประโยชน์โดยผู้ไม่ประสงค์ดี
วิธีการโจมตี: ผู้โจมตีทำการสแกนหาเซิร์ฟเวอร์ ESXi ที่มีช่องโหว่ จากนั้นใช้ช่องโหว่ดังกล่าวเพื่อเข้าถึงระบบ ติดตั้งแรนซัมแวร์ และเข้ารหัสข้อมูล
ผลกระทบ: ข้อมูลถูกเข้ารหัสและไม่สามารถเข้าถึงได้จนกว่าจะมีการจ่ายค่าไถ่ ซึ่งส่งผลกระทบอย่างรุนแรงต่อธุรกิจและการดำเนินงาน
การตรวจจับและการตอบสนอง: บทความที่สองให้คำแนะนำโดยละเอียดเกี่ยวกับวิธีการตรวจจับและตอบสนองต่อการโจมตีเหล่านี้โดยใช้ Splunk ซึ่งเป็นแพลตฟอร์มการวิเคราะห์ข้อมูลและความปลอดภัย
มาตรการป้องกัน:
แพตช์ทันที: การติดตั้งแพตช์ล่าสุดจาก VMware เพื่อแก้ไขช่องโหว่ที่ทราบเป็นสิ่งจำเป็น
ไฟร์วอลล์: การใช้ไฟร์วอลล์เพื่อจำกัดการเข้าถึงเซิร์ฟเวอร์ ESXi จากเครือข่ายภายนอกเป็นสิ่งสำคัญ
การสำรองข้อมูล: การสำรองข้อมูลเซิร์ฟเวอร์เป็นประจำเพื่อให้สามารถกู้คืนข้อมูลได้ในกรณีที่ถูกโจมตีเป็นสิ่งที่ควรปฏิบัติ
การตรวจสอบ: การใช้เครื่องมือตรวจสอบความปลอดภัยเพื่อตรวจหาและเตือนเกี่ยวกับกิจกรรมที่น่าสงสัยเป็นสิ่งจำเป็น
แผนรับมือเหตุการณ์: การจัดทำแผนรับมือเหตุการณ์เพื่อให้แน่ใจว่ามีการตอบสนองอย่างรวดเร็วและมีประสิทธิภาพในกรณีที่เกิดการโจมตีเป็นสิ่งสำคัญ
คำแนะนำและแนวทางแก้ไขเพิ่มเติม
VMware ได้จัดทำคู่มือที่ครอบคลุมเกี่ยวกับการรักษาความปลอดภัยของ ESXi Hypervisors ต่อไปนี้เป็นคำแนะนำเฉพาะในการบรรเทาผลกระทบตามคำแนะนำของ VMware และแหล่งข้อมูลอื่นๆ:
1.อัปเดตซอฟต์แวร์ ESXi : ขอแนะนำอย่างยิ่งให้ผู้ดูแลระบบอัปเดตเซิร์ฟเวอร์เป็นซอฟต์แวร์ VMware ESXi เวอร์ชันล่าสุด เพื่อป้องกันช่องโหว่ต่างๆ ที่อาจถูกใช้ในการเข้าถึงหรือการพยายามเข้าถึงเครือข่ายภายใน รวมถึง CVE-2021-21974 หากไม่สามารถทำการแพตช์ได้ หรือหากไม่จำเป็นต้องใช้ Service Location Protocol (SLP) (แม้แต่บนเซิร์ฟเวอร์ที่ได้รับการแพตช์แล้ว) ให้เสริมความแข็งแกร่งให้กับ ESXi Hypervisors โดยปิดใช้งานบริการ SLP นอกจากนี้ยังใช้ได้กับบริการอื่นๆ ที่ทำงานบน ESXi ที่อาจไม่จำเป็น เช่น การเข้าถึง SSH และ Shell
2.เสริมความแข็งแกร่งให้กับรหัสผ่าน: ช่องโหว่การเข้าถึงเบื้องต้นและการเข้าถึงเครือข่ายภายใน ที่อาศัยบัญชีที่ถูกต้องสามารถป้องกันได้โดยการใช้ นโยบายรหัสผ่านที่เข้มงวด เปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย และตรวจสอบการเปลี่ยนแปลงบัญชีและความพยายามในการตรวจสอบสิทธิ์
3.จำกัดการเข้าถึง: เพื่อลดความเสี่ยงจากช่องโหว่การเข้าถึงเบื้องต้น ตรวจสอบให้แน่ใจว่า ESXi Hypervisors ไม่ได้เปิดเผยต่ออินเทอร์เน็ตสาธารณะ เพื่อป้องกันการแพร่กระจายของการโจมตีที่เริ่มต้นจาก ESXi ให้จำกัดการสื่อสารระหว่างเซิร์ฟเวอร์
4.ตรวจสอบการรับส่งข้อมูลเครือข่าย: เพื่อตรวจจับการโจมตีที่กำลังดำเนินอยู่ ให้ตรวจสอบกิจกรรมที่ผิดปกติในการรับส่งข้อมูลเครือข่ายและบนเซิร์ฟเวอร์ ESXi รวมถึงช่องโหว่ที่รู้จักและแพ็กเก็ตที่ผิดปกติหรือรูปแบบไม่ถูกต้อง การรับส่งข้อมูลเครือข่ายไปยังที่อยู่ IP ที่ไม่รู้จัก อาจบ่งชี้ถึงการใช้ประโยชน์บนเซิร์ฟเวอร์ ESXi การตรวจสอบไฟล์บันทึกสำหรับความพยายามในการตรวจสอบสิทธิ์ การดำเนินการบนสแนปช็อต VM และคำสั่งที่อาจเป็นอันตราย เช่น esxcli
5.สร้างการสำรองข้อมูลเพื่อการกู้คืน: ตรวจสอบให้แน่ใจว่ามีการสำรองข้อมูลของ VMs ที่อยู่นอกสภาพแวดล้อม ESXi เพื่อให้สามารถกู้คืนได้ในกรณีที่เกิดการโจมตี ในการกู้คืนจากการโจมตี
ภัยคุกคามจากแรนซัมแวร์ที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ VMware ESXi เป็นปัญหาที่ร้ายแรงและกำลังดำเนินอยู่ การดำเนินการตามมาตรการป้องกันที่กล่าวถึงข้างต้นเป็นสิ่งสำคัญสำหรับการปกป้องโครงสร้างพื้นฐานด้านไอทีของคุณและลดความเสี่ยงของการถูกโจมตี
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา
