Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — компрометация виртуальных сред VMWare ESXi, критическая уязвимость в плагине WordPress, уязвимость локального изменения пароля в Cisco Smart Software Manager On-Prem, патчи для 386 уязвимостей от Oracle, мошенническая схема Konfety.

Шифровальщик Play нацелился на VMWare ESXi

Команда по поиску угроз компании Trend Micro обнаружила вариант программы-вымогателя Play для Linux, который шифрует файлы только при запуске в среде VMWare ESXi. Компрометация виртуальных сред VMWare ESXi может значительно нарушить бизнес-процессы. ВПО Play удается избегать обнаружения различными средствами защиты. Программа-вымогатель, направленная на программный продукт для виртуализации VMWare ESXi, начинает с разведки среды, определяя ее характеристики, затем осуществляется сканирование и выключение всех обнаруженных виртуальных машин с использованием команд управления. После этого шифруются файлы, связанные с виртуальными машинами, включая их диски и конфигурационные файлы, добавляя к ним расширение .PLAY. Организациям рекомендуется ознакомиться с IOCs и обширными рекомендациями для харденинга ESXi из отчета.

Критическая уязвимость в плагине WordPress

Исследователи из WPScan выявили критическую уязвимость CVE-2024-6695 (CVSS: 9.1) в плагине для WordPress Profile Builder. Уязвимость позволяет выполнить повышение привилегий без аутентификации и получить административный доступ без какой-либо учетной записи на целевом сайте. При стандартной регистрации пользователь автоматически входит в систему с ролью «подписчика». Плагин проверяет адреса электронной почты и убеждается, что пользователь еще не зарегистрирован. После регистрации генерируется одноразовый идентификатор безопасности для пользователя. Затем этот идентификатор