گرچه مجازیسازی به طور قابلملاحظهای برخی ریسکهای تهدید سایبری را کاهش داده است؛ اما نمیتواند علاج همهچیز باشد. یکحملهی باجافزاری هنوز هم میتواند بعنوان مثال از طریق نسخههای آسیبپذیر VMware ESXi زیرساختهای مجازی را مورد هدف بگیرد.
استفاده از ماشینهای مجازی روشی قوی و امن است. برای مثال، استفاده از VM میتواند آسیبهای ابتلا را اگر ماشین مجازی هیچ اطلاعات حساسی در خود نداشته باشد تخفیف دهد. حتی اگر کاربری به طور تصادفی تروجانی را روی ماشین مجازی فعال کند، صِرف نصب ساده یک ماشین مجازی هر تغییرات آلوده و مخرب را معکوس میکند. با این همه، باجافزار RansomExx به طور خاص آسیبپذیریهای داخل VMware ESXi را هدف میگیرد تا به هارد دیسکهای مجازی حمله کند. بر اساس گزارشات گروه Darkside از همین روش استفاده میکند و سازندگان BabukLocker Trojan اشاره کردهاند که میتوانند ESXi را رمزگذاری کنند.
این آسیبپذیریها چه هستند؟
هایپروایزر[2] VMware ESXiبه چندین ماشین مجازی اجازه میدهد تا روی یک سرور واحد آن هم از طریق Open SLP (پروتکل Service Layer) اطلاعات را ذخیره کنند. همین –از بین کلی دلایل دیگر- میتواند موجب شود دستگاههای شبکه بدون تنظیمات پیشین شناسایی شوند. دو آسیبپذیری مربوطه CVE-2019-5544 و CVE-2020-3992 نام دارند و هر دو کهنهکارند؛ از این رو برای مجرمان سایبری تازگیای ندارند. اولی برای اجرای حملات سرریز هیپ[3] مورد استفاده قرار میگیرد و دومی از نوع Use-After-Free است؛ که به کاربرد ناصحیح مموری دینامیک در طول عملیات مربوط میشود. هر دو آسیبپذیریها چندی پیش بسته شدند (اولی در سال 2019 و دومی در سال 2020) اما در سال 2021 مجرمان سایبری هنوز هم دارند از طریق آنها حملات موفقی را پیش میبرند. طبق معمول، این بدان معناست که برخی از سازمانها هنوز نرمافزارهای خود را آپدیت نکردهاند.
چطور مهاجمین آسیبپذیریهای ESXi را اکسپلویت میکنند؟
مهاجمین میتوانند از این آسیبپذیریها برای تولید درخواستهای آلودهی SLP و دستکاری ذخیرهگاه دادهها استفاده کنند. البته برای رمزگذاری اطلاعات ابتدا به ساکن باید به شبکه رخنه کنند. این کار برای مهاجمین هیچ کاری ندارد؛ خصوصاً اگر ماشین مجازی راهکار امنیتی اجرا نکرده باشد. اپراتورهای RansomExx برای در دست گرفتن سیستم برای مثال میتوانند از آسیبپذیری Zerologon (در پروتکل Netlogon Remote) استفاده کنند. بدینمعنا که آنها کاربر را فریب میدهند تا کد مخربی را روی ماشین مجازی اجرا کنند. آنوقت است که مجرمان کنترلر Active Directory را در دست میگیرند و درست در همین زمان است که شروع میکنند به رمزگذاری ذخیرهگاه و گذاشتن پیغام باج. این را هم بگوییم که Zerologon تنها گزینه نیست؛ فقط میشود اسمش را گذاشت یکی از خطرناکترین گزینهها. دلیلش هم این است که اکسپلویت کردنش را تقریباً به هیچوجه نمیشود تشخیص داد مگر با سرویسهای ویژه.
راهکارهای امنیتی
- VMware ESXi را آپدیت کنید.
- چنانچه آپدیت در واقع غیرممکن است از راهکار پیشنهادی خودِ VMware استفاده کنید (اما در نظر داشته باشید که این متود برخی از قابلیتهای SLP را محدود خواهد کرد).
- همه ماشینهای روی شبکه اینترنتی را آپدیت کنید؛ از جمله ماشینهای مجازی.
- از همه ماشینهای روی شبکهی خود از جمله ماشینهای مجازی محافظت کنید.
- از راهکار Managed Detection and Response استفاده کنید که حتی پیچیدهترین حملات چندمرحلهای را -که راهکارهای معمول آنتیویروس قادر به رؤیت آنها نیستند-شناسایی میکند.