Neste fim de semana (4 e 5), ataques cibernéticos com ESXiArgs impactaram diversas empresas em todo mundo, vitimando milhares de servidores do modelo ESXi da VMware, segundo alertas emitidos por agências de Cibersegurança na Europa e na América do Norte. Os ataques tinham como objetivo explorar uma vulnerabilidade de software exposta nos sistemas desatualizados.
Essa brecha foi detectada pela VMware em fevereiro de 2021, para qual os patches foram disponibilizados na época. Após dois anos, a falha ainda é explorada, o que levanta ainda uma antiga discussão entre os CISOs da Comunidade Security Leaders: a negligência do básico bem-feito da Segurança como monitoramento de vulnerabilidades e atualização dos parque tecnológicos.
Para Paulo Condutta, CISO do Banco Ourinvest, a grande dificuldade para enfrentar situações de crise como essa está na falta de profissionais focados no tratamento de patches ligados à virtualização. Essa carência se agrava com a falta de processos de gestão de correções.
“Esse gargalo dificulta o processo de correção de sistemas de virtualização. Vale destacar que se trata de ambientes críticos, atualizações podem gerar uma necessidade de janela de impacto (mesmo em casos de reboot). Toda essa ação deve ser muito bem coordenada”, disse em entrevista para a Security Report.
Segundo informou a própria companhia, a Vmware ficou ciente dos avisos governamentais, mas afirmou que a vulnerabilidade havia sido corrigida assim que fora detectada. No momento, a orientação é que os clientes apliquem o patch de atualização o mais depressa possível, se já não o tiverem feito antes.
“Como tudo que envolve a infraestrutura de virtualização é crítico e de alto impacto, devemos tratar com celeridade a correção desse patch mesmo entendendo que sua exploração dependa ainda de um acesso a estrutura de gerenciamento do ambiente VMware. Hoje, a recomendação é que essa estrutura esteja controlada e apartada”, finalizou Condutta.
Esse ataque massivo aos servidores ESXi é considerado um dos mais extensos ciberataques de ransomware já relatados em máquinas não Windows. Essa questão se tornou preocupante pelo fato de, até recentemente, os ataques de ransomware serem focados em máquinas baseadas no Windows.
“Os atacantes que aplicam o ransomware perceberam como os servidores Linux são cruciais para os sistemas de instituições e organizações. Isso certamente os levou a investir no desenvolvimento de uma arma cibernética tão poderosa e a tornar o ransomware tão sofisticado”, comenta Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.
A Security Report publica na íntegra o comunicado mais recente da VMware sobre essa vulnerabilidade:
“De acordo com relatórios públicos, uma variante de ransomware chamada de ESXiArgs parece ter como alvo o fim do suporte geral ou produtos significativamente desatualizados, aproveitando vulnerabilidades conhecidas, que foram anteriormente abordadas e divulgadas nos VMware Security Advisories (VMSAs).
A VMware não encontrou nenhuma evidência que sugira que uma vulnerabilidade desconhecida ou de “dia zero” esteja sendo usada para propagar o ransomware nos ataques ESXiArgs.
A segurança de nossos clientes é prioridade máxima na VMware e recomendamos que as organizações façam a atualização para as versões mais recentes com suporte disponíveis dos componentes do vSphere para lidar com as vulnerabilidades atualmente conhecidas. Recomendações adicionais sobre o ransomware ESXiArgs estão disponíveis no blog do cliente da VMware.”
