Nhóm ứng phó khẩn cấp máy tính của Pháp cho biết: “Các chiến dịch tấn công này dường như khai thác lỗ hổng CVE-2021-21974 đã có bản vá từ ngày 23/2/2021”.
VMware trong cảnh báo riêng được phát hành vào thời điểm đó đã mô tả sự cố này là OpenSLP có thể dẫn đến việc thực thi mã tùy ý.
Nhà cung cấp dịch vụ ảo hóa lưu ý: “Một tác nhân độc hại nằm trong cùng một phân đoạn mạng với ESXi có quyền truy cập vào cổng 427, có thể kích hoạt sự cố tràn bộ nhớ trong dịch vụ OpenSLP dẫn đến thực thi mã từ xa”.
Nhà cung cấp dịch vụ đám mây của Pháp OVHcloud cho biết, các cuộc tấn công đang được phát hiện trên toàn cầu và chủ yếu nhắm vào châu Âu. Người ta nghi ngờ rằng các vụ xâm phạm có liên quan đến một chủng ransomware mới dựa trên Rust có tên là Nevada xuất hiện vào tháng 12/2022.
Các dòng khác được biết là đã sử dụng Rust trong những tháng gần đây bao gồm BlackCat, Hive, Luna, Nokoyawa, RansomExx và Agenda.
Các tác nhân đang mời cả các bên sử dụng tiếng Nga và tiếng Anh cộng tác với một số lượng lớn một số nhà môi giới truy cập ban đầu (IABs) trên web đen.
Đáng chú ý, nhóm đứng sau ransomware Nevada cũng đang tự mua quyền truy cập đã bị xâm phạm, nhóm này có một nhóm chuyên trách việc hậu khai thác và tiến hành xâm nhập mạng vào các mục tiêu mà chúng quan tâm.
Tuy nhiên, theo báo cáo của Bleeping Computer, các ghi chú đòi tiền chuộc trong các cuộc tấn công không có điểm tương đồng với phần mềm tống tiền Nevada, thêm vào đó, chủng này đang được theo dõi dưới tên ESXiArgs.
Người dùng được khuyến nghị nâng cấp lên phiên bản ESXi mới nhất để giảm thiểu các mối đe dọa tiềm ẩn cũng như hạn chế quyền truy cập vào dịch vụ OpenSLP đối với các địa chỉ IP đáng tin cậy.
OVHcloud đã xác nhận rằng các cuộc tấn công ransomware đã tận dụng lỗ hổng trong OpenSLP làm phương tiện thỏa hiệp ban đầu. Tuy nhiên, công ty cho biết họ không thể xác nhận liệu nó có dẫn đến việc lạm dụng CVE-2021-21974 ở giai đoạn này hay không. Nó cũng quay ngược lại những phát hiện ban đầu cho thấy mối liên hệ hợp lý với phần mềm tống tiền Nevada.
Nguyễn Chân
09:59 | 16/12/2014
09:00 | 04/05/2023
14:00 | 14/06/2023
14:34 | 14/10/2009
09:00 | 08/08/2023
13:00 | 23/06/2022
10:00 | 07/07/2023
13:00 | 01/08/2024
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung 2 lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực trong thực tế.
10:00 | 25/06/2024
Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các “bản sửa lỗi” PowerShell nhằm cài đặt phần mềm độc hại.
10:00 | 13/05/2024
Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024