最后更新于2023年2月8日星期三19:35:43 GMT
2023年2月3日,法国网络托管提供商 OVH and French CERT 发布了关于勒索软件活动的警告 targeting 一种名为“ESXiArgs”的新型勒索病毒感染了全球的VMware ESXi服务器.“竞选活动似乎在发挥作用 CVE-2021-21974在OpenSLP服务ESXi中运行了近两年的堆溢出漏洞. 勒索软件的操作者利用机会主义的“喷洒和祈祷”策略,并已经妥协 hundreds of ESXi servers in the past few days, apparently including 由托管公司管理的服务器. 暴露在公共互联网上的ESXi服务器尤其危险.
Given the age of the vulnerability, 很可能许多组织已经修补了他们的ESXi服务器. However, 因为修补ESXi可能具有挑战性,并且通常需要停机时间, 一些组织可能没有更新到固定版本.
Update: On February 7, 2023, CISA released a recovery script ESXiArgs通过从未被恶意软件加密的虚拟磁盘重建虚拟机元数据来工作."
Affected products
根据VMware,以下ESXi版本容易受到CVE-2021-21974的攻击 original advisory:
- ESXi versions 7.x prior to ESXi70U1c-17325551
- ESXi versions 6.7.x prior to ESXi670-202102401-SG
- ESXi versions 6.5.x prior to ESXi650-202102101-SG
Security news outlets have noted 在某些情况下,早期版本的ESXi似乎也受到了损害. 攻击者可能会利用其他漏洞或攻击向量. 我们会及时更新这个博客.
February 8, 2023 Update: 基于工程声纳遥测和受影响的建筑id, Rapid7 believes, with high confidence, that there are at least 18,在撰写本文时,581个易受攻击的面向internet的ESXi服务器.
Attacker behavior
OVH has observed the following 截至2023年2月3日(英文翻译略有编辑):
- 该入侵向量被证实使用了一个OpenSLP漏洞,可能是CVE-2021-21974(截至2月3日仍有待确认)。. 日志实际上显示用户“dcui”参与了入侵过程.
- 加密使用恶意软件在/tmp/public中部署的公钥.pem
- 加密过程是专门针对虚拟机文件(.vmdk”, “.vmx”, “.vmxf”, “.vmsd”, “.vmsn”, “.vswp”, “.vmss”, “.nvram”,”*.vmem”)
- 该恶意软件试图通过杀死VMX进程来关闭虚拟机以解锁文件. 此功能没有按预期系统地工作,导致文件保持锁定状态.
- 恶意软件创建“argsfile”来存储传递给加密二进制文件的参数(要跳过的MB数), number of MB in encryption block, file size)
- No data exfiltration occurred.
- 在某些情况下,文件的加密可能部分失败,从而允许受害者恢复数据.
February 8, 2023 Update: 根据Rapid7的威胁情报, 此漏洞和其他ESXi漏洞正在被esxiarg以外的勒索软件组织积极利用.
Mitigation guidance
ESXi客户应确保其数据已备份,并应在紧急情况下将其ESXi安装更新到固定版本, 无需等待常规补丁周期发生. 如果可能的话,ESXi实例不应该暴露在互联网上. Administrators should also disable the OpenSLP service if it is not being used.
Rapid7 customers
A vulnerability check for CVE-2021-21974已于2021年2月提供给InsightVM和expose客户.
Updates
February 8, 2023 15:35 UTC
- Added information on the CISA recovery script released on February 7, 2023
February 8, 2023 19:32 UTC
增加声纳遥测信息
-增加了关于ESXiArgs以外的组织利用的信息
