Uważajcie na dwie podatności hiperwizora VMware ESXi, które umożliwiają grupom ransomware szyfrowanie wirtualnych dysków twardych. Hakerzy przeprowadzają ataki od października 2020 roku. Więcej technicznych informacji znajdziecie w tekście poniżej. Ale to nie koniec tematów. W tym tygodniu opisujemy również jak rozwija się sprawa nowego błędu Sudo – są nowe podatne produkty. Omawiamy również nowy malware Hildegard, który atakuje środowiska Kubernetes. Na koniec przyglądamy się kampanii przestępczej, której twarzy użyczył… Steven Seagal.
Podatności w VMware ESXi narażają Cię na zaszyfrowanie dysków wirtualnych
Co najmniej jedna z największych grup ransomware wykorzystuje podatności w VMware ESXi do szyfrowania wirtualnych dysków twardych – a w efekcie, przejmowania całych maszyn VM.
Zebrane przez specjalistów dowody jednoznacznie wskazują, że atakujący korzystają z podatności VMware ESXi CVE-2019-5544 oraz CVE-2020-3992. Oba błędy wpływają na protokół lokalizacji usługi (SLP, Service Location Protocol), za sprawą którego urządzenia znajdujące się w tej samej sieci mogą się wzajemnie wykrywać.
Za pomocą tych dwóch bug’ów, atakujący są w stanie wysłać złośliwe żądania SLP do urządzenia ESXi i przejąć nad nim kontrolę. Jest to możliwe nawet w sytuacji, gdy przestępcom nie uda się złamać zabezpieczeń serwera VMware vCenter, do którego zwykle raportują instancje ESXi.
Udokumentowane dotąd ataki powiązano z grupą przestępczą, która wykorzystuje w swoich operacjach ransomware RansomExx. Gang RansomExx uzyskuje dostęp do urządzenia w sieci firmowej i nadużywa ów entry point do przeprowadzenia ataku na lokalne instancje ESXi i szyfrowania ich wirtualnych dysków twardych. Skutkuje to niestety ogromnymi zakłóceniami w funkcjonowaniu organizacji. Dyski wirtualne ESXi są zazwyczaj wykorzystywane do centralizacji danych z licznych systemów – produkcyjnych, informatycznych itp. Stąd tak duża eskalacja zagrożenia dla business continuity takiej firmy.
Czy można uniknąć ataku? Jak najbardziej. Administratorzy, którzy wykorzystują VMware ESXi do zarządzania przestrzenią dyskową używaną przez ich maszyny wirtualne, powinni w pierwszej kolejności zainstalować niezbędne poprawki ESXi – oraz jeśli to możliwe – wyłączyć obsługę protokołu SLP.
Baron Samedit – nowa podatność sudo dotyka również produkty Apple i Cisco
System operacyjny macOS Big Sur oraz część produktów Cisco również znalazły się na liście rozwiązań zagrożonych przez nową podatność Sudo – czyli błąd CVE-2021-3156, znany lepiej pod nazwą Baron Samedit. Wspomniana luka powoduje przepełnienie bufora opartego na stercie i może prowadzić do uzyskania uprawnień roota na podatnym hoście (więcej informacji w tym temacie przeczytacie tutaj).
Podatne Apple OS
Specjaliści ds. bezpieczeństwa z firmy Qualys – którzy wykryli błąd Sudo – zweryfikowali część dystrybucji Linux. Zdaniem Matthew Hickey – założyciela Hacker House – jednym z systemów operacyjnych, którego ten problem również dotyczy, jest macOS Big Sur firmy Apple.
“CVE-2021-3156 również wpływa na funkcjonowanie @apple MacOS Big Sur (na ten moment niezałatany), błąd można eksplotować poprzez dowiązanie symboliczne sudo do sudoedit, wywołując następnie przepełnienie bufora i w efekcie zwiększając swoje uprawnienia do 1337 uid=0,” czytamy w jego poście na Twitterze.
W ostatnim tygodniu Apple wypuścił łatki dla ponad 60 podatności wykrytych w systemach Big Sur, Catalina oraz Mojave. Żadna z aktualizacji nie rozwiązuje jednak problemu Sudo.
Produkty Cisco również zagrożone
Zespół ds. bezpieczeństwa firmy Cisco bada obecnie, które z jego produktów są dotknięte luką Baron Samedit. Do tej pory potwierdzono już wpływ na kilka z nich. W szczególności problem dotyczy Firepower Threat Defense (FTD), Prime Collaboration Provisioning, Prime Service Catalog Virtual Appliance, Smart Software Manager On-Prem, przełączniki Nexus serii 3000, przełączniki Nexus serii 9000 w samodzielnym trybie NX-OS i Paging Server (InformaCast).
Na ten moment nic nie wskazuje na to, że luka Sudo jest wykorzystywana w atakach real time. Zaleca się jednak
Administratorzy oraz użytkownicy, których ten problem dotyczy, są sprawną instalację łatek, gdy tylko zostaną udostępnione dla ich produktów.
Grupa TeamTNT i nowy malware Hildegard atakują środowiska Kubernetes
Grupa zwana TeamTNT wykorzystuje zupełnie nowy malware w ataku na środowiska Kubernetes. Które atakuje nie po raz pierwszy – we wrześniu 2020 roku ostrzegaliśmy przed jej kampanią wykorzystującą legalne narzędzie Weave Scope do przejęcia platform Docker i Kubernetes.
W nowej kampanii, która rozpoczęła się w styczniu 2021 r. grupa atakuje Kubernetes za pomocą ukrytego i trwałego złośliwego oprogramowania o nazwie Hildegard. Malware ten nawiązuje połączenie ze swoim serwerem C&C za pomocą tmate reverse shell i kanału IRC (Internet Relay Chat). Maskuje złośliwe działanie wykorzystując proces bioset Linux, ukrywa złośliwe procesy poprzez wstrzyknięcie biblioteki i szyfruje złośliwy payload, aby utrudnić analizę.
W ramach zaobserwowanych ataków, po przejęciu klastra Kubernetes, hakerzy próbowali rozprzestrzenić się na dodatkowe kontenery. Ostatecznym celem ataków był cryptojacking. Jednak od pierwszego wykrycia nie zidentyfikowano żadnej nowej aktywności.
Malware może być jednak wykorzystywany do wydobywania poufnych danych z aplikacji działających w atakowanych środowiskach. Przestępcy mogą również ręcznie przeprowadzić dodatkowy rekonesans i inne działania.
Kampania korzysta z narzędzi i technik znanych z poprzednich ataków TeamTNT, ale kod i infrastruktura zdają się niekompletne, co może sugerować, że kampania jest wciąż w trakcie rozwoju.
Mimo to, wydaje się, że to jeden z najbardziej skomplikowanych ataków na Kubernetes. To również najbardziej złożona i wyposażona w złośliwe funkcje kampania, jaką kiedykolwiek dysponowała grupa TeamTNT. W tym ataku wykorzystuje ona kombinację błędnych konfiguracji Kubernetes i znanych luk w zabezpieczeniach. Zespoły DevOps i IT muszą zatem współpracować, aby ustalić priorytety i działania naprawcze, w tym aktualizacje luk wysokiego ryzyka.
Krypto-oszust zatrudnił Stevena Seagala do promowania oszustwa. Teraz staje przed sądem
Agenci FBI oskarżyli prywatnego detektywa z Kalifornii o kradzież 11 milionów dolarów od inwestorów, z pomocą aktora Stevena Seagala.
John DeMar, bo o nim mowa, nakłonił setki osób do inwestycji w fałszywą kryptowalutę “Bitcoiin”. Wyciągnął z nich 11 milionów dolarów, a pieniądze zamiast w kryptowalutę, zainwestował w Porsche, biżuterię i remont swojego domu…
Oszust zatrudnił nawet Stevena Seagala do promocji swojej firmy, znanej również jako „Bitcoiin2Gen” lub „B2G”. Aktor został oskarżony o bezprawne reklamowanie oferty aktywów cyfrowych i nieujawnianie płatności, które otrzymał za działania promocyjne B2G. W zeszłym roku nie przyznając się do żadnych przestępstw został ukarany karą pieniężną w wysokości 157 tys. dolarów.
DeMarr przebywa obecnie w areszcie i po raz pierwszy pojawił się w sądzie 1 lutego, aby stanąć w obliczu zarzutu zmowy w celu popełnienia oszustwa związanego z papierami wartościowymi.
Według oskarżyciela, DeMarr obiecał ofiarom 8000-procentowy zwrot z inwestycji w ciągu pierwszego roku. Wygenerował także fałszywe komunikaty prasowe, dokumenty i wyciągi z konta, aby podtrzymać wiarygodność oszustwa. Kiedy inwestorzy w końcu zaczęli upominać się o swoje pieniądze, DeMarr podobno sfingował swoje zaginięcie. Prosił ludzi o kłamstwo i potwierdzenie wersji, że został napadnięty i porwany w Czarnogórze.
Cóż, na szczęście odnalazł się cały i zdrowy, a zamiast plaż w Czarnogórze ogląda widoki zza krat.
Plan DeMarr opierał się na skomplikowanym schemacie kryptowaluty, głośnych obietnicach zawrotnych zwrotów z inwestycji oraz wsparciem medialnym ze strony znanych osobowości telewizyjnych. O tym, żeby nie zawsze wierzyć w tego typu obietnice przekonały się więc setki inwestorów. Niestety, ta wiedza kosztowała ich 11 milionów dolarów!