🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Inteligência do adversário

Alerta crítico para usuários do VMware vSphere e ESXi

Uma publicação em um fórum sobre crimes cibernéticos está anunciando o acesso a vários servidores VMware vCenter e ESXi.
Updated on
April 17, 2026
Published on
July 26, 2021
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
CategoriaInteligência do adversárioIndústrias afetadasMúltiploRegião afetadaGlobal

Sumário executivo

  • CloudSEKa principal plataforma digital de monitoramento de risco da XV Vigília descobri uma postagem, em um fórum de crimes cibernéticos, anunciando o acesso a vários servidores VMware vCenter e ESXi.
  • O ator afirma ter acesso a 1000 instâncias de servidores VMware vCenter e ESXi de empresas em todo o mundo.
  • A equipe de pesquisa de inteligência de ameaças da CloudSEK conseguiu validar as afirmações mencionadas na postagem.

Atribuição

Em 25 de maio de 2021, um agente de ameaças publicou uma postagem em um fórum de crimes cibernéticos na dark web, alegando ter obtido acesso não autorizado a mais de 1000 instâncias de servidores VMware vCenter e ESXi de empresas em todos os setores do setor. Isso inclui acesso às credenciais de login em texto simples de escolas, SDDC de rede, empresa de jogos, servidores Hostinger, etc. O ator afirma que a maioria das empresas usou domínios padrão, dificultando o nome das empresas afetadas e que elas têm mais de 100 máquinas virtuais ativas em execução em seus servidores. O ator também compartilhou amostras como prova de acesso. [caption id="attachment_17594" align="aligncenter” width="794"] Postagem do ator da ameaça no fórum de crimes cibernéticos [/caption] O ator da ameaça entrou no fórum em 24 de maio de 2021 e é relativamente novo no fórum. O ator adquiriu uma assinatura premium e tem dois tópicos anunciando acessos ao vCenter Server/ESXi.

Análise

Informações da HUMINT
A fonte confiável da CloudSEK se conectou com o agente da ameaça que compartilhou de forma privada uma lista de entidades afetadas, incluindo indústrias de diferentes países. O ator da ameaça também anunciou esses acessos publicamente no fórum de crimes cibernéticos, mas posteriormente os retirou do ar. Os pesquisadores da CloudSEK Threat Intelligence conseguiram confirmar que nenhum dos acessos anunciados ou compartilhados com nossa fonte confiável está relacionado a bancos indianos.
Vulnerabilidades da VMware em fóruns clandestinos (atualização)
Atores de ameaças altamente renomados em fóruns clandestinos que buscam ativamente explorações de PoC para vulnerabilidades da VMware, incluindo os seguintes CVEs:
  • CVE-2020-4004: Vulnerabilidade VMware ESXi que permite que invasores com privilégios de usuário local executem código.
  • CVE-2021-21974: vulnerabilidade no ESXi OpenSLP que leva à execução remota de código
  • CVE-2020-4005: Vulnerabilidade do VMware ESXi que leva ao aumento de privilégios após o encadeamento com outras vulnerabilidades.
  • CVE-2019-5544: vulnerabilidade no ESXi OpenSLP que leva à substituição de heap.
  • CVE-2020-3992: vulnerabilidade no ESXi OpenSLP que leva à execução remota de código
Além disso, outros agentes de ameaças estão procurando parceiros para fornecer acesso ao ESXi.

Impacto e mitigação

Mitigação de impacto
  • O ator afirma ter acesso a credenciais de login em texto simples, o que pode resultar em outras formas de ataques direcionados a outros hosts no mesmo monitor de máquina virtual.
  • Os invasores podem aproveitar o acesso para instalar diferentes tipos de arquivos maliciosos no host, incluindo ransomwares.
    • Ative a 2FA para credenciais de login e observe as melhores práticas de política de senhas.
    • Restrinja o acesso de administrador a poucos usuários com funções personalizadas para cada tipo de usuário.
    • Monitore os privilégios atribuídos aos administradores.
    • Restrinja os privilégios de acesso aos servidores e bancos de dados do vCenter, dependendo do tipo de usuário.
    • Aplique os patches e atualizações mais recentes dos fornecedores.
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more