Uma recente vaga de ataques de ransomware é alimentada por uma vulnerabilidade da VMWare com dois anos. Os ataques afectaram milhares de organizações em todo o mundo, especialmente na Europa e na América do Norte.
Estão a chegar relatórios de todo o mundo sobre um novo ransomware chamado EXSIArgs. Ao explorar uma vulnerabilidade com dois anos no software hipervisor EXSI, os malfeitores conseguem eliminar ficheiros importantes do sistema das estações de trabalho infectadas. Mais de 3200 servidores VMWare foram afectados a partir de 6 de fevereiro de 2023.
O incidente suscitou respostas imediatas das autoridades das zonas afectadas. Um porta-voz da Agência Americana de Cibersegurança e Segurança das Infra-estruturas, também conhecida por CISA, anunciou que a organização está a par do problema. A CISA está a trabalhar extensivamente com parceiros privados e públicos para avaliar o impacto dos ataques e prestar assistência sempre que necessário. A Agência Nacional de Cibersegurança da Itália também emitiu avisos às organizações, instando-as a tomar medidas imediatas.
Como aconteceu
Este ataque começou com uma vulnerabilidade de dois anos nos servidores VMWare EXSI. O EXSI é uma tecnologia que a empresa utiliza para alojar e coordenar várias máquinas num único servidor. A vulnerabilidade em questão está relacionada com o serviço OpenSLP, que está disponível em versões mais antigas do EXSI. Se agentes maliciosos explorarem esta vulnerabilidade, podem executar código que elimina ficheiros no sistema.
No entanto, esta vulnerabilidade não é desconhecida. Foi divulgada em 2021 e foi registada como CVE-2021-21974. A empresa recomendou que as organizações devem começar a atualizar seus componentes vSphere para as versões mais recentes, pois elas contêm o patch para essa vulnerabilidade.
Vulnerabilidades: Os punhais escondidos
Os agentes maliciosos têm vindo a utilizar vulnerabilidades de software há muito tempo, com alguns casos particularmente notórios como o CVE-2018-8174, também conhecido como Double Kill, e o exploit ProxyLogon. Uma vez que as vulnerabilidades podem ser pontos de entrada para o malware, os especialistas recomendam que sejam corrigidas logo que uma atualização esteja disponível.
Os governos e outros regulamentos relativos a vulnerabilidades estão a tornar-se mais prevalecentes e mais rigorosos. Por exemplo, em outubro de 2022, a já referida CISA emitiu uma Diretiva Operacional Vinculativa (BOD 23-01) para melhorar a visibilidade dos activos e vulnerability detection nas redes federais. Até 3 de abril de 2023, todas as agências federais são obrigadas a cumprir a necessidade de efetuar a descoberta automatizada de activos a cada 7 dias e de iniciar a enumeração de vulnerabilidades em todos os activos descobertos (incluindo pontos finais, como computadores portáteis) a cada 14 dias.
Embora seja essencial para todas as organizações e agora exigido para as agências federais, isso não significa que seja uma tarefa fácil. As organizações podem ter até milhares de dispositivos que precisam de ser actualizados de cada vez, e é também um esforço colossal garantir que cada dispositivo é atualizado. Lembre-se de que apenas um dispositivo infetado pode desencadear uma cadeia de infecções que provoca uma enorme violação de dados.
Como o SDP e o Zero-Trust podem proteger a sua rede
OPSWATA MetaDefender Access Zero-Trust Access Platform da Microsoft é uma solução abrangente que proporciona conformidade, visibilidade e controlo de segurança a todos os dispositivos e utilizadores que acedem a recursos organizacionais.
Conformidade
MetaDefender O Access efectua a verificação da postura do dispositivo mais abrangente do sector (15 categorias de verificações), incluindo a execução de uma avaliação de riscos e vulnerabilidades. Detecta mais de 35.000 CVEs e pode corrigir automaticamente mais de 150 aplicações de terceiros.
Controlo de acesso
Após MetaDefender Access garantir que o dispositivo endpoint é compatível e seguro, os utilizadores são autorizados a aceder à rede através de uma solução IAM (gestão de autorização de identidade) integrada. Em seguida, é-lhes dado acesso através de um Perímetro Definido Software SDP) aos recursos organizacionais com base numa política de privilégios mínimos.
Visibilidade
A proteção é ainda mais profunda. Com o MetaDefender Access, no caso do software EXSI, os piratas informáticos nunca conseguiriam ligar-se a ele, uma vez que os recursos e as aplicações por detrás do SDP são invisíveis para todos os dispositivos; assim, os piratas informáticos nunca saberiam que estavam lá. Além disso, só os dispositivos de confiança que tenham passado por rigorosas verificações de conformidade e segurança, como descrito acima, podem aceder aos recursos através do SDP.
As organizações não têm de ficar indefesas quando agentes maliciosos exploram uma vulnerabilidade. Ao aplicar regularmente patches nas suas aplicações e pontos finais, as organizações podem minimizar o risco de ataques, evitando incidentes dispendiosos de ransomware. Soluções como a plataforma OPSWAT MetaDefender Access Zero-Trust Access permitem às organizações acelerar o processo de uma forma compatível, segura e económica.
Leia mais sobre a nossa plataformaMetaDefender Access Zero-Trust Access.
