Nhóm ứng phó khẩn cấp máy tính của Pháp cho biết: “Các chiến dịch tấn công này dường như khai thác lỗ hổng CVE-2021-21974 đã có bản vá từ ngày 23/2/2021”.
VMware trong cảnh báo riêng được phát hành vào thời điểm đó đã mô tả sự cố này là lỗ hổng tràn bộ đệm OpenSLP có thể dẫn đến việc thực thi mã tùy ý.
Nhà cung cấp dịch vụ ảo hóa lưu ý: “Một tác nhân độc hại nằm trong cùng một phân đoạn mạng với ESXi có quyền truy cập vào cổng 427, có thể kích hoạt sự cố tràn bộ nhớ trong dịch vụ OpenSLP dẫn đến thực thi mã từ xa”.
Nhà cung cấp dịch vụ đám mây của Pháp OVHcloud cho biết, các cuộc tấn công đang được phát hiện trên toàn cầu và chủ yếu nhắm vào châu Âu. Người ta nghi ngờ rằng các vụ xâm phạm có liên quan đến một chủng ransomware mới dựa trên Rust có tên là Nevada xuất hiện vào tháng 12/2022.
Các dòng ransomware khác được biết là đã sử dụng Rust trong những tháng gần đây bao gồm BlackCat, Hive, Luna, Nokoyawa, RansomExx và Agenda.
Các tác nhân đang mời cả các bên sử dụng tiếng Nga và tiếng Anh cộng tác với một số lượng lớn một số nhà môi giới truy cập ban đầu (IABs) trên web đen.
Đáng chú ý, nhóm đứng sau ransomware Nevada cũng đang tự mua quyền truy cập đã bị xâm phạm, nhóm này có một nhóm chuyên trách việc hậu khai thác và tiến hành xâm nhập mạng vào các mục tiêu mà chúng quan tâm.
Tuy nhiên, theo báo cáo của Bleeping Computer, các ghi chú đòi tiền chuộc trong các cuộc tấn công không có điểm tương đồng với phần mềm tống tiền Nevada, thêm vào đó, chủng này đang được theo dõi dưới tên ESXiArgs.
Người dùng được khuyến nghị nâng cấp lên phiên bản ESXi mới nhất để giảm thiểu các mối đe dọa tiềm ẩn cũng như hạn chế quyền truy cập vào dịch vụ OpenSLP đối với các địa chỉ IP đáng tin cậy.
OVHcloud đã xác nhận rằng các cuộc tấn công ransomware đã tận dụng lỗ hổng trong OpenSLP làm phương tiện thỏa hiệp ban đầu. Tuy nhiên, công ty cho biết họ không thể xác nhận liệu nó có dẫn đến việc lạm dụng CVE-2021-21974 ở giai đoạn này hay không. Nó cũng quay ngược lại những phát hiện ban đầu cho thấy mối liên hệ hợp lý với phần mềm tống tiền Nevada.
Nguyễn Chân
09:59 | 16/12/2014
09:00 | 04/05/2023
14:00 | 14/06/2023
14:34 | 14/10/2009
09:00 | 08/08/2023
13:00 | 23/06/2022
10:00 | 07/07/2023
10:00 | 28/08/2023
Một trojan truy cập từ xa (RAT) mới có tên là “QwixxRAT” đang được các tin tặc rao bán thông qua các nền tảng Telegram và Discord. Các doanh nghiệp và người dùng cá nhân đều có thể gặp rủi ro bởi vì trojan này âm thầm xâm nhập vào các thiết bị mục tiêu, tạo ra một mạng lưới khai thác dữ liệu rộng lớn.
09:00 | 02/06/2023
Anker đã xác nhận rằng trong những sản phẩm camera an ninh của họ có một số lỗ hổng bảo mật nghiêm trọng cho phép các bên thứ ba trái phép xem nguồn cấp dữ liệu trực tiếp của camera. Eufy đã tải dữ liệu người dùng lên máy chủ đám mây khi chưa có sự đồng ý của họ và lỗ hổng bảo mật có thể sử dụng liên kết từ cổng web của Eufy để xem quá trình phát trực tiếp của camera bằng trình phát đa phương tiện.
07:00 | 19/05/2023
Một lỗ hổng nghiêm trọng đã được phát hiện trong plugin WordPress phổ biến Essential Addons for Elementor có khả năng bị khai thác để chiếm được các đặc quyền nâng cao trên các trang web bị ảnh hưởng.
16:00 | 12/05/2023
Cho đến đầu năm nay, ứng dụng phần mềm mã nguồn mở Apache Superset vẫn xuất xưởng với cấu hình mặc định không an toàn mà kẻ xấu có thể khai thác để đăng nhập và chiếm lấy ứng dụng trực quan hóa dữ liệu, đánh cắp dữ liệu và thực thi mã độc.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
VMware Aria Operations for Networks là một công cụ giám sát, khám phá và phân tích mạng cũng như ứng dụng để xây dựng cơ sở hạ tầng mạng an toàn trên nền tảng điện toán đám mây cho các doanh nghiệp. Mới đây, mã khai thác PoC cho một lỗ hổng nghiêm trọng ảnh hưởng đến VMware Aria Operations for Networks đã được công bố. Hiện hãng đã phát hành các bản sửa lỗi cho lỗ hổng.
15:00 | 20/09/2023
