Ataque em massa ao ambiente VMware traz o pesadelo da correção de patches

Agências de Segurança da Informação confirmaram ataques cibernéticos usando brecha em servidores desatualizados da companhia. Na visão de especialista ouvido pela Security Report, o gargalo dessa correção está na crise de mão de obra

Compartilhar:

Neste fim de semana (4 e 5), ataques cibernéticos com ESXiArgs impactaram diversas empresas em todo mundo, vitimando milhares de servidores do modelo ESXi da VMware, segundo alertas emitidos por agências de Cibersegurança na Europa e na América do Norte. Os ataques tinham como objetivo explorar uma vulnerabilidade de software exposta nos sistemas desatualizados.

 

Essa brecha foi detectada pela VMware em fevereiro de 2021, para qual os patches foram disponibilizados na época. Após dois anos, a falha ainda é explorada, o que levanta ainda uma antiga discussão entre os CISOs da Comunidade Security Leaders: a negligência do básico bem-feito da Segurança como monitoramento de vulnerabilidades e atualização dos parque tecnológicos.

 

 

Para Paulo Condutta, CISO do Banco Ourinvest, a grande dificuldade para enfrentar situações de crise como essa está na falta de profissionais focados no tratamento de patches ligados à virtualização. Essa carência se agrava com a falta de processos de gestão de correções.

 

“Esse gargalo dificulta o processo de correção de sistemas de virtualização. Vale destacar que se trata de ambientes críticos, atualizações podem gerar uma necessidade de janela de impacto (mesmo em casos de reboot). Toda essa ação deve ser muito bem coordenada”, disse em entrevista para a Security Report.

 

Segundo informou a própria companhia, a Vmware ficou ciente dos avisos governamentais, mas afirmou que a vulnerabilidade havia sido corrigida assim que fora detectada. No momento, a orientação é que os clientes apliquem o patch de atualização o mais depressa possível, se já não o tiverem feito antes.

 

“Como tudo que envolve a infraestrutura de virtualização é crítico e de alto impacto, devemos tratar com celeridade a correção desse patch mesmo entendendo que sua exploração dependa ainda de um acesso a estrutura de gerenciamento do ambiente VMware. Hoje, a recomendação é que essa estrutura esteja controlada e apartada”, finalizou Condutta.

 

Esse ataque massivo aos servidores ESXi é considerado um dos mais extensos ciberataques de ransomware já relatados em máquinas não Windows. Essa questão se tornou  preocupante pelo fato de, até recentemente, os ataques de ransomware serem  focados em máquinas baseadas no Windows.

 

“Os atacantes que aplicam o ransomware perceberam como os servidores Linux são cruciais para os sistemas de instituições e organizações. Isso certamente os levou a investir no desenvolvimento de uma arma cibernética tão poderosa e a tornar o ransomware tão sofisticado”, comenta Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.

 

A Security Report publica na íntegra o comunicado mais recente da VMware sobre essa vulnerabilidade:

“De acordo com relatórios públicos, uma variante de ransomware chamada de ESXiArgs parece ter como alvo o fim do suporte geral ou produtos significativamente desatualizados, aproveitando vulnerabilidades conhecidas, que foram anteriormente abordadas e divulgadas nos VMware Security Advisories (VMSAs).

 

A VMware não encontrou nenhuma evidência que sugira que uma vulnerabilidade desconhecida ou de “dia zero” esteja sendo usada para propagar o ransomware nos ataques ESXiArgs.

 

A segurança de nossos clientes é prioridade máxima na VMware e recomendamos que as organizações façam a atualização para as versões mais recentes com suporte disponíveis dos componentes do vSphere para lidar com as vulnerabilidades atualmente conhecidas. Recomendações adicionais sobre o ransomware ESXiArgs estão disponíveis no blog do cliente da VMware.”

 

Conteúdos Relacionados

Security Report | Destaques

Pedro Nuno explora as vantagens do Outsourcing de SI em novo livro

O CISO da Valid fala com exclusividade à Security Report sobre o lançamento do seu livro, que traz uma análise...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a Netshoes, a Usina Alta Mogiana, a ValeCard, a Metalfrio, a...
Security Report | Destaques

Apagão Cibernético: empresas estimam os impactos da crise

CrowdStrike e Microsoft detectaram ainda no fim de semana que ao menos 8,5 milhões de devices foram atingidos pela pane...
Security Report | Destaques

Apagão Cibernético traz lição sobre vulnerabilidade da cadeia global

A crise desencadeada pela falha na atualização do ambiente CrowdStrike mostrou como a hiperdependência de sistemas digitais pode levar a...