Nova ameaça foca em servidores de virtualização para realizar ataques

Os servidores de virtualização VMware ESXi são o alvo de uma backdoor recém-descoberta por especialistas em segurança, que permite a execução de códigos remotamente para a realização de ataques. A exploração basedada em Python foi localizada em uma infraestrutura corporativa não identificada e se apoiaria em duas brechas de segurança conhecidas para funcionar.

• FBI alerta sobre ataques de ransomware que miram servidores VPN
• Ransomware contra servidores Linux aumentou 75% em 2022

De acordo com os especialistas da Juniper Networks, que revelaram a ameaça, os criminosos responsáveis pelo comprometimento teriam usado falhas localizadas em 2019 e 2020. A CVE-2019-5544 e CVE-2020-3992 atingem um sistema chamado OpenSLP, um serviço de código aberto para localização e configuração de plataformas conectadas à rede.

As duas aberturas já foram corrigidas pela VMware, mas como a descoberta mostrou, ainda estão sendo usadas por cibercriminosos. O vetor de comprometimento da rede, entretanto, não pôde ser verificado, uma vez que os logs foram insuficientes; por outro lado, para a Juniper Networks, ficaram claras as intenções de estabelecer permanência na rede e realizar ataques direcionados aos servidores de virtualização.

A backdoor é capaz de reescrever arquivos que permanecem intactos até mesmo durante reinicializações da máquina. Executada junto a outros sistemas durante o boot do servidor, a praga permite o recebimento de comandos criptografados, enviados assim pelos criminosos de forma a dificultar a detecção. O resultado é a execução de códigos maliciosos nas máquinas comprometidas e a realização de diferentes tipos de ataques; as indicações são de uma campanha em fase de preparação, já que mais comprometimentos não foram detectados.

A Juniper Networks aponta, ainda, que a praga em si é multiplataforma, sendo capaz de agir contra sistemas Unix e Linux. Entretanto, existem linhas de código que citam especificamente recursos dos servidores VMware ESXi, deixando clara que esta é uma operação direcionada, com um malware criado de forma específica para essa plataforma.

A empresa de cibersegurança divulgou indicadores de comprometimento e detalhes técnicos que ajudam a detectar eventuais comprometimentos. Além disso, a recomendação é de atualização em todos os servidores e o uso de sistemas de monitoramento de conexões e alterações em arquivos, principalmente aqueles executados durante a reinicialização das máquinas; apenas conexões remotas confiáveis devem ser permitidas, de forma a impedir, também, novos comprometimentos remotos.

Fonte: Juniper Networks