最后更新于2023年2月8日星期三19:35:43 GMT
2023年2月3日,法国网络托管提供商 OVH 和法国 CERT 发布了关于勒索软件活动的警告 针对 一种名为“ESXiArgs”的新型勒索病毒感染了全球的VMware ESXi服务器.“竞选活动似乎在发挥作用 cve - 2021 - 21974在OpenSLP服务ESXi中运行了近两年的堆溢出漏洞. 勒索软件的操作者利用机会主义的“喷洒和祈祷”策略,并已经妥协 数百台ESXi服务器 显然是在过去的几天里 包括 由托管公司管理的服务器. 暴露在公共互联网上的ESXi服务器尤其危险.
考虑到漏洞的年龄, 很可能许多组织已经修补了他们的ESXi服务器. 然而, 因为修补ESXi可能具有挑战性,并且通常需要停机时间, 一些组织可能没有更新到固定版本.
更新: 2023年2月7日, 中钢协发布了恢复脚本 ESXiArgs通过从未被恶意软件加密的虚拟磁盘重建虚拟机元数据来工作."
受影响的产品
根据VMware,以下ESXi版本容易受到cve - 2021 - 21974的攻击 原来的咨询:
- ESXi版本7.在ESXi70U1c-17325551之前
- ESXi版本6.7.ESXi670-202102401-SG之前的版本
- ESXi版本6.5.ESXi650-202102101-SG之前
安全新闻媒体 注意到 在某些情况下,早期版本的ESXi似乎也受到了损害. 攻击者可能会利用其他漏洞或攻击向量. 我们会及时更新这个博客.
2023年2月8日更新: 基于工程声纳遥测和受影响的建筑id, Rapid7相信, 满怀信心, 至少有18个,在撰写本文时,581个易受攻击的面向internet的ESXi服务器.
攻击者的行为
OVH已经 观察到以下内容 截至2023年2月3日(英文翻译略有编辑):
- 该入侵向量被证实使用了一个OpenSLP漏洞,可能是cve - 2021 - 21974(截至2月3日仍有待确认)。. 日志实际上显示用户“dcui”参与了入侵过程.
- 加密使用恶意软件在/tmp/public中部署的公钥.pem
- 加密过程是专门针对虚拟机文件(.vmdk”、“.vmx”、“.vmxf”、“.vmsd”、“.vmsn”、“.vswp”、“.虚拟机”、“.nvram”、“*.vmem”)
- 该恶意软件试图通过杀死VMX进程来关闭虚拟机以解锁文件. 此功能没有按预期系统地工作,导致文件保持锁定状态.
- 恶意软件创建“argsfile”来存储传递给加密二进制文件的参数(要跳过的MB数), 加密块的MB数, 文件大小)
- 未发生数据泄露.
- 在某些情况下,文件的加密可能部分失败,从而允许受害者恢复数据.
2023年2月8日更新: 根据Rapid7的威胁情报, 此漏洞和其他ESXi漏洞正在被esxiarg以外的勒索软件组织积极利用.
缓解指导
ESXi客户应确保其数据已备份,并应在紧急情况下将其ESXi安装更新到固定版本, 无需等待常规补丁周期发生. 如果可能的话,ESXi实例不应该暴露在互联网上. 管理员还应该 关闭OpenSLP服务 如果它没有被使用.
Rapid7客户
A 漏洞检查 for cve - 2021 - 21974已于2021年2月提供给InsightVM和expose客户.
更新
2023年2月8日15:35 UTC
—增加了 CISA恢复脚本 于2023年2月7日上映
2023年2月8日19:32 UTC
增加声纳遥测信息
-增加了关于ESXiArgs以外的组织利用的信息
