امنیت

فناوری اطلاعات

February 8, 2023
16:02 چهارشنبه، 19ام بهمنماه 1401
کد خبر: 142984

هکرها با یک آسیب‌پذیری دوساله، هزاران سرور را در سراسر دنیا آلوده کردند

هزاران سرور در کشورهای مختلف در مجموعه‌ای از حملات سایبری در معرض خطر قرار گرفته و به باج‌افزار آلوده شده‌اند.
سرورهای پرشماری در سراسر دنیا تحت مجموعه‌ای از حملات سایبری قرار گرفته‌اند که ظاهراً از آسیب‌پذیری دو سال پیش ابزار مدیریتی VMware در مجموعه‌های ابری استفاده می‌کنند. این حملات با نصب باج‌افزار بسیاری از سرورها را دچار مشکل کرده‌اند.
 
به گزارش ArsTechnica، هکرها از آسیب‌پذیری برنامه هایپروایزر VMware موسوم به ESXi استفاده می‌کنند که به شرکت‌های ارائه‌دهنده خدمات میزبانی ابری و دیگر کسب‌وکارهای بزرگ فروخته می‌شود تا در مدیریت منابع سخت‌افزاری به آن‌ها کمک کند.
 
ESXi یک هایپروایزر نوع 1 است؛ یعنی سیستم‌عامل خودش را روی سرورها اجرا می‌کند. درآن‌سو، سرورهایی که از هایپروایزرهای نوع 2 مثل VirtualBox استفاده می‌کنند، برنامه‌های خود را روی سیستم‌عامل میزبان اجرا می‌کنند.
 
تیم‌های واکنش اضطراری (CERT) در فرانسه، ایتالیا و اتریش می‌گویند تاکنون بیش از 3200 سرور به این باج‌افزارها آلوده شده‌اند. البته چون سرورهای ESXi تعداد زیادی سیستم را به‌صورت ماشین مجازی می‌سازند، این رقم در عمل باید چندین برابر باشد.
 
آسیب‌پذیری ESXi همان موقع با عنوان وخیم معرفی شده بود
هکرها برای حملات خود از آسیب‌پذیری CVE-2021-21974 استفاده کرده‌اند که از سرریز بافر در OpenSLP به‌وجود می‌آید. زمانی که VMware این مشکل را در ماه فوریه 2021 اصلاح کرد، به مشتریان خود هشدار داد که هکرها می‌توانند از طریق پورت 427 از این آسیب‌پذیری سوءاستفاده کنند. این ایراد نمره وخامت 8.8 از 10 را دریافت کرده بود.
 
شرکت میزبانی ابری OVH در بیانیه‌ای دراین‌باره اعلام کرده است که نمی‌تواند سرورهای پیکربندی‌شده توسط مشتریان خود را از این آسیب‌پذیری رها کند: «ما براساس لاگ‌های خودکار چندین طرح را برای شناسایی سرورهای در معرض خطر با ESXI راه‌اندازی کردیم. [ولی] اکنون فقط می‌توانیم اقدامات محدودی انجام دهیم، چون به سرورهای مشتریانمان دسترسی منطقی نداریم.»
 
متخصصان از این حمله سایبری و باج‌افزاری آن با عنوان ESXiArgs یاد می‌کنند، چون این بدافزار پس از رمزنگاری اسناد، فایل‌هایی با پسوند args. می‌سازد. این فایل‌ها ظاهراً حاوی داده‌هایی است که امکان رمزگشایی از اطلاعات رمزنگاری‌شده را فراهم می‌کنند.
 
افرادی که دارای سرورهای مجهز به ESXi هستند، بهتر است هرچه سریع‌تر مطمئن شوند که پچ مربوط به آسیب‌پذیری CVE-2021-21974 روی سرور آن‌ها نصب شده باشد.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.