پیرو افزایش حملات جهانی به هایپرویزورهای VMware آسیب پذیر، آپدیت و ارتقا آنها به آخرین نسخه ها ضروری است اما مدیریت این وصله ها تنها یک بخش از این ماجراست.
حملات باج افزاری به آن دسته از محصولاتی که VMware آنها را End of General Support یا به صورت مشخص محصولات out-of-date محسوب می کند، ادامه داشته و این امر تاکنون به بسیاری از سازمانهایی که همچنان در حال استفاده نسخه های قدیمی VMware ESXi هستند و در وصله کردن آسیب پذیری ها تعلل می کنند، درس بزرگی داده است.
به گفته محققان با این حال، این حملات همچنان مشکلات گسترده ای در از کار انداختن محیط های مجازی ایجاد می کنند.
VMware طی بیانه ای در سال گذشته اعلام کرد که حمله باج افزاری شناسایی شده در 3 فوریه 2023 ناشی از یک آسیب پذیری ناشناخته یا Zero-day نبوده، بلکه از آسیب پذیری هایی که قبلا شناسایی شده بودند و توسط شرکت سازنده هم وصله شده اند، استفاده شده است.
برای مثال در حمله باج افزاری ESXiArgs از یک آسیب پذیری دو ساله با شناسه CVE-2021-21974 استفاده شده است. VMware با تکیه بر این موضوع به کاربران خود تاکید می کند به منظور حفاظت از خود در برابر آسیب پذیری های شناخته شده، همیشه از آخرین نسخه های دارای پشتیبانی استفاده کرده و مولفه های vSphere را ارتقا دهند و تا حد امکان از ورژن های منسوخ شده ای که End of General Support محسوب می شوند، استفاده نکنند.
این شرکت همچنین به کاربران پیشنهاد می کند که سرویس OpenSLP در ESXi غیرفعال کنند، VMware به صورت پیش فرض این کار را در نسخه های ESXi 7.0 U2C و ESXi 8.0 GA و بعد از آن انجام داده است.
سیستم های آپدیت نشده و بدون وصله هدف دوباره حملات
تاکنون سرورهای زیادی در سراسر جهان در معرض خطر حملات بوده و دلیل عمده آن عدم وصله آسیب پذیری ها و تاخیر در انجام آپدیت ها در سازمان و شرکتهاست.
مدیران ارشد امنیت شرکت BullWall معتقدند مدت زمانی که طول می کشد تا سازمانی سیستم ها و برنامه های داخلی خود را به روز نمایند می تواند دلیلی بر نفوذ مهاجمان به آن شبکه باشد.
همچنین مدیر فنی و استراتژیست امنیتی شرکت Tenable نیز معتقد است که این موضوع یک حقیقت غم انگیز است که آسیب پذیری های شناخته شده با اکسپلویت در دسترس، اغلب بدون وصله باقی می مانند. این امر سازمانها را در معرض خطر نفوذ موفقیت آمیز قرار میدهد و در مورد آسیب پذیری های VMware ESXi حجم تهدیدات با توجه به وجود اکسپلویت های فعال بسیار زیاد است.
با این حال حتی با توجه به خطرات ناشی از عدم آپدیت سیستم های آسیب پذیر و استفاده از ورژن های قدیمی و منسوخ شده، ایجاد تعادل بین نیاز به آپدیت سیستم ها و تاثیری که زمان دان تایم لازم برای این کار در روند کار دارد، برای سازمانها یک مسئله پیچیده است. در بیشتر موارد مسئله مهم برای سازمان زمان آپ تایم است تا زمانی که فرآیندها را به منظور آپدیت یا وصله متوقف کنند. اما در این مورد محاسبه بسیار ساده است : انتخاب بین چند دقیقه سختی و دان تایم در برابر اختلالات چند روزه ناشی از حملات و آسیب پذیری ها!
سایر کارشناسان امنیتی معتقدند حملات ESXi در حال انجام تنها محدود به مشکل عدم وصله نیست. اگرچه آپدیت به موقع می تواند بسیاری از مشکلات را حل کند، اما موضوع حفاظت از محیط های مجازی به طور کلی ساده نیست.
مدیر ارشد اطلاعات تهدید شرکت Cyberary می گوید واقعیت این است که VMware به عنوان یک پلتفرم و به طور خاص ESXi محصولات پیچیده ای برای مدیریت از لحاظ امنیتی هستند و اهداف قابل توجهی برای مهاجمان هستند. افزایش کمپین های باج افزاری متعدد تنها در سال 2022 و 2023 نشان می دهد که مهاجمان هوشمندانه عمل کرده و پتانسیل موفقیت خود را می شناسند.
با به خطر افتادن و نفوذ به یک هایپرویزور ESXi مهاجمان می تواند چندین ماشین مجازی را کنترل کرده یا به آنها دسترسی پیدا کند که ممکن است هرکدام از آنها میزبان سیستم های زیادی باشند که بدون نیاز به تلاش زیادی از سوی مهاجم به خطر خواهند افتاد.
مهاجمان به خوبی میدانند که هدف قرار دادن این سطح از یک شبکه، به آنها اجازه میدهد تا امتیازات خود را بالا برده و به همه چیز دسترسی داشته باشند.
زمانی که امکان وصله وجود ندارد، چطور از سیستم های ESXi محفاظت کنیم؟
گاهی در کنار به روز رسانی فوری هر سیستم ممکن است نیاز به پیاده سازی رویکردهای دیگری نیز باشد. حقیقت امر این است که همیشه سیستم های اصلاح نشده به دلایلی مثل ریسک محاسبه شده توسط سازمانها یا محدودیت های منابع و زمان وجود دارد. خطر داشتن یک سیستم اصلاح نشده ممکن است با سایر اقدامات امنیتی مانند نظارت مستمر بر زیرساخت های سازمانی و فعالیت های مخرب همچنین آمادگی برای پاسخ سریع در صورت بروز مشکل، کاهش یابد.
در واقع باید بدانیم که جلوگیری از حملات به طور همیشگی و 100% غیرممکن است و تنها با انجام یک اقدام امنیتی محدود قابل پیشگیری نبوده و باید با تمرکز بر کاهش اثرات حمله و به کارگیری مجموعه از ابزار امنیتی، حفاظتی، پشتیبان گیری و بازیابی خود را برای مقابله به خطرات آماده کرد.
حملات مدام به VMware ESXi نشان میدهد که سازمانها نیرو و زمان کافی برای انجام اقدامات پیشگیرانه را ندارند. با توجه به اینکه نیروی متخصص کافی در همه سازمانها وجود ندارد باید آموزش به کارمندان را افزایش داد و از ابزارهای جامع امنیتی نظیر راهکارهای تشخیص و پاسخ به رویداد و حوداث کمک گرفت. چنین ابزارهایی به ما کمک میکنند تا با حداقل نیاز به نیروی جدید اقدامات پیشگیرانه را انجام دهیم.
منبع:
