يتم تشغيل الموجة الأخيرة من هجمات برامج الفدية بواسطة ثغرة أمنية في برنامج VMWare عمرها عامين. أثرت الهجمات على آلاف المنظمات في جميع أنحاء العالم ، وخاصة في أوروبا وأمريكا الشمالية.
تأتي التقارير من جميع أنحاء العالم حول برنامج فدية جديد يسمى EXSIArgs. من خلال استغلال ثغرة أمنية عمرها عامين في برنامج EXSI Hypervisor ، يمكن للجهات الفاعلة السيئة حذف الملفات المهمة داخل نظام محطات العمل المتضررة. تأثر أكثر من 3,200 خادم VMWare اعتبارا من 6 فبراير 2023.
وأثار الحادث ردود فعل فورية من السلطات في المناطق المتضررة. أعلن متحدث باسم الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية ، والمعروفة أيضا باسم CISA ، أن المنظمة على دراية بالمشكلة. تعمل CISA على نطاق واسع مع الشركاء من القطاعين العام والخاص لتقييم آثار الهجمات وتقديم المساعدة عند الضرورة. كما أصدرت الوكالة الوطنية الإيطالية للأمن السيبراني تحذيرات للمنظمات، وحثتها على اتخاذ إجراءات فورية.
كيف حدث ذلك
بدأ هذا الهجوم بثغرة أمنية عمرها عامين في خوادم VMWare EXSI. EXSI هي تقنية تستخدمها الشركة لاستضافة وتنسيق أجهزة متعددة على خادم واحد. ترتبط الثغرة الأمنية المعنية بخدمة OpenSLP ، والتي تتوفر في الإصدارات القديمة من EXSI. إذا استغلت الجهات الفاعلة الضارة هذه الثغرة الأمنية ، فيمكنها تنفيذ تعليمات برمجية تحذف الملفات الموجودة على نظامك.
ومع ذلك ، فإن هذه الثغرة ليست مجهولة. تم الكشف عنه في عام 2021 وتم تتبعه ك CVE-2021-21974. أوصت الشركة بأن تبدأ المؤسسات في تحديث مكونات vSphere الخاصة بها إلى أحدث الإصدارات ، لأنها تحتوي على تصحيح لهذه الثغرة الأمنية.
نقاط الضعف: الخناجر الخفية
تستخدم الجهات الفاعلة الضارة نقاط الضعف في البرامج لفترة طويلة ، مع بعض الحالات سيئة السمعة بشكل خاص مثل CVE-2018-8174 ، المعروف أيضا باسم Double Kill ، واستغلال ProxyLogon . نظرا لأن الثغرات الأمنية يمكن أن تكون نقاط دخول للبرامج الضارة ، يوصي الخبراء بضرورة تصحيحها بمجرد توفر التحديث.
أصبحت الحكومات واللوائح الأخرى المتعلقة بنقاط الضعف أكثر انتشارا وصرامة. على سبيل المثال ، في أكتوبر من عام 2022 ، أصدرت CISA المذكورة أعلاه توجيها تشغيليا ملزما (BOD 23-01) لتحسين رؤية الأصول و vulnerability detection على الشبكات الفيدرالية. بحلول 3 أبريل 2023 ، يتعين على جميع الوكالات الفيدرالية الامتثال للحاجة إلى إجراء اكتشاف تلقائي للأصول كل 7 أيام وبدء تعداد الثغرات الأمنية عبر جميع الأصول المكتشفة (بما في ذلك نقاط النهاية مثل أجهزة الكمبيوتر المحمولة) كل 14 يوما.
في حين أنه ضروري لجميع المنظمات ومطلوب الآن للوكالات الفيدرالية ، إلا أن هذا لا يعني أن هذه مهمة سهلة. يمكن أن يكون لدى المؤسسات ما يصل إلى آلاف الأجهزة التي تحتاج إلى تحديث في وقت واحد ، وهو أيضا جهد هائل لضمان تحديث كل جهاز. تذكر أن جهازا متضررا واحدا فقط يمكن أن يطلق سلسلة من العدوى التي تسبب خرقا هائلا للبيانات.
كيف SDP ويمكن لانعدام الثقة حماية شبكتك
OPSWAT MetaDefender Access Zero-Trust Access Platform هو حل شامل يوفر الامتثال الأمني والرؤية والتحكم في كل جهاز ومستخدم يصل إلى الموارد المؤسسية.
الامتثال
MetaDefender يُجري Access أكثر عمليات فحص وضع الجهاز شمولاً في المجال (15 فئة من عمليات الفحص)، بما في ذلك إجراء تقييم للمخاطر والثغرات الأمنية. وهو يكتشف أكثر من 35,000 نقطة ضعف ويمكنه تصحيح أكثر من 150 تطبيقاً خارجياً تلقائياً.
التحكم في الدخول
بعد أن يتأكد MetaDefender Access من أن جهاز نقطة النهاية متوافق وآمن في آنٍ واحد، يتم التصريح للمستخدمين بالوصول إلى الشبكة من خلال حل متكامل لإدارة ترخيص الهوية (IAM). ثم يتم منحهم بعد ذلك إمكانية الوصول عبر محيط معرّف Software SDP إلى الموارد التنظيمية استناداً إلى سياسة أقل امتيازات.
رؤية
بل إن الحماية أعمق من ذلك. فمع MetaDefender Access، في حالة برنامج EXSI، لن يتمكن المتسللون من الاتصال به في المقام الأول لأن الموارد والتطبيقات الموجودة خلف SDP غير مرئية لجميع الأجهزة؛ وبالتالي، لن يعرف المتسللون أبداً أنها موجودة هناك. علاوة على ذلك، لا يمكن الوصول إلى الموارد عبر SDP إلا للأجهزة الموثوقة التي خضعت لفحوصات أمنية صارمة للامتثال والتحقق من الأمان كما هو موضح أعلاه.
لا يجب على المؤسسات أن تكون بلا دفاعات عندما تستغل الجهات الضارة إحدى الثغرات الأمنية. فمن خلال تصحيح تطبيقاتها ونقاط النهاية الخاصة بها بانتظام، يمكن للمؤسسات تقليل مخاطر الهجمات، مما يمنع وقوع حوادث الفدية المكلفة. تعمل حلول مثل منصة OPSWAT MetaDefender Access Zero-Trust Access على تمكين المؤسسات من تسريع العملية بطريقة متوافقة وآمنة وفعالة من حيث التكلفة.
اقرأ المزيد عن منصتناMetaDefender Access Zero-Trust Access.
