מתקפות חדשות מנצלות חולשות ב-VMware, סרוויס נאו ואקרוניס

חיבור של כמה נתוני מודיעין איומים מאתמול (ב') חושף שורה של מתקפות, שמנצלות נקודות תורפה בשלוש פלטפורמות פופולריות – של VMware, סרוויס נאו ואקרוניס. חלק מהחולשות דורגו ברמת חומרה קריטית. צבר הפגיעויות הביא אנליסטים לכנות את יום האתמול "יום שני הסוער בסייבר".

חוקרי מיקרוסופט חשפו אמש כי החולשה שנתגלתה בעבר ב-VMware ESXi hypervisors נוצלה על ידי כמה קבוצות האקרים שמפעילות מתקפות מבוססות כופרה. חברי הקבוצות ערכו מתקפות "כדי שהם יוכלו לקבל הרשאות ניהול מלאות על ESXi hypervisors שמחוברים לדומיין", ציינו החוקרים. הפגיעות, CVE-2024-37085, תוקנה במקביל לשחרור גרסה ESXi 8.0, ששוחררה בסוף יוני – כך לפי ברודקום, הבעלים של VMware.

במסמך ייעוץ אבטחה שהנפיקה ציינה ברודקום שהפגיעות – כמו גם שתיים אחרות, CVE-2024-37086 ו-CVE-2024-37087 – הן חולשות ברמת חומרה "בינונית". לפי מיקרוסופט, "החולשות עלולות להביא למצב שבו משתמשים בלתי מורשים יקבלו גישה מנהלתית מלאה ל-ESXi hypervisor כברירת מחדל – ובלא אימות מתאים". החוקרים ציינו כי "המטרה של התוקפים בניצול החולשה הייתה בדיוק זו: להרחיב את היקף ההרשאות שלהם לגישה מנהלתית מלאה ב-ESXi hypervisor".

אילו כופרות ומי התוקפים?

לפי חוקרי מיקרוסופט, הפגיעות ב-VMware ESXi "נוצלה על ידי מפעילי כופרות רבים, ביניהם Storm-0506 ,Storm-1175 ,Octo Tempest ו-Manatee Tempest – בהתקפות רבות". הם ציינו כי המתקפות כללו פריסה של גרסאות של כופרות מסוג Black Basta ו-Akira.

באחד המקרים, הוסיפו, "מתקפה שאירעה מוקדם יותר השנה, נגד חברת הנדסה בצפון אמריקה, הסבה לנזק כלשהו בשל כופרת Black Basta שהופעלה על ידי Storm-0506. במהלך המתקפה הזו, שחקן האיום השתמש בפגיעות CVE-2024-37085 כדי להשיג הרשאות מורחבות ל-ESXi hypervisors בתוך הארגון".

שתי פגיעויות קריטיות בסרוויס נאו

עוד אמש, CISA – הסוכנות האמריקנית לאבטחת סייבר ותשתיות – הודיעה כי שתי פגיעויות של סרוויס נאו בדרגת חומרה קריטית נוצלו במהלך מתקפות. הפגיעות הראשונה, CVE-2024-4879, היא פגם של "אימות קלט לא תקין". פגיעות זו, לפי הסוכנות, "עלולה לאפשר למשתמש לא מאומת להפעיל קוד מרחוק בפלטפורמת Now".

סרוויס נאו מסרה כי "הוצאנו לפגיעות בפלטפורמת Now עדכון ב-14 במאי, ומאז הוצאנו סדרה של תיקונים שנועדו לטפל בבעיה. בהתבסס על החקירה שלנו בנושא, נכון לעכשיו לא מצאנו ראיות לכך שפעילות זדונית כלשהי קשורה ללקוחות המתארחים אצלנו. עודדנו את הלקוחות שלנו להטמיע תיקונים רלוונטיים, אם הם עדיין לא עשו זאת. נמשיך לעבוד ישירות עם לקוחות שזקוקים לסיוע בתיקונים הללו".

פגיעות נוספת של סרוויס נאו, שכאמור, אף היא קיבלה דרגת חומרה קריטית, סווגה כ- CVE-2024-5217, וגם אותה הסוכנות הוסיפה אמש לרשימת הפגיעויות המנוצלות. "פגיעות זו עלולה לאפשר למשתמש לא מאומת להפעיל קוד מרחוק בפלטפורמת Now", ציינו אנשיה.

פגיעות גם באקרוניס

CISA הוסיפה לרשימה גם באג בדרגת חומרה קריטית שמשפיע על תשתיות הסייבר של אקרוניס, ACI (ר"ת Acronis Cyber Infrastructure). הפגיעות סווגה כ-CVE-2023-45249, וגם אותה הסוכנות הכניסה לקטלוג הפגיעויות המנוצלות שלה אתמול.

לפי הסוכנות, החולשה עלולה להשפיע על גרסאות רבות של פלטפורמת הסייבר של אקרוניס. היא ציינה שהפגם קשור לסיסמת ברירת המחדל, הלא מאובטחת בפלטפורמה, וניצול שלה "עלול לאפשר ביצוע פקודות מרחוק במערכת. תוקפים מרוחקים עלולים לקבל גישה לתשתית של אקרוניס ולשרתים שמריצים ACI".

החברה ציינה שהפגיעות תוקנה לפני תשעה חודשים ולמרות זאת, היא הוציאה לפני ימים אחדים עוד הודעת ייעוץ אבטחה בנושא. "העדכון צריך להיות מותקן מיד על ידי כל המשתמשים", כתבה. "ידוע שפגיעות זו מנוצלת (על ידי הרעים – י"ה)". אקרוניס לא שיתפה פרטים ספציפיים לגביה, וגם לא מידע על אופי התקיפה, או על המתקפות.