Ataki ransomware wykorzystujące podatność w VMWare ESXi

10 Lutego 2023

Francuski CERT ostrzegł w swoim komunikacie z 3 lutego przed kampanią eksploitującą podatność CVE-2021-21974 dla:

  • ESXi wersja 7.x wcześniejsze niż ESXi70U1c-17325551
  • ESXi wersja 6.7.x wcześniejsze niż ESXi670-202102401-SG
  • ESXi wersja 6.5.x wcześniejsze niż ESXi650-202102101-SG.

Podatność uzyskała wartość punktową (CVSSv3) 8.8 – High.

Powyższa luka bezpieczeństwa pozwala na zdalne wykonanie kodu po spełnieniu poniższych warunków:

  • atakujący znajduje się w tym samym segmencie sieci co serwer ESXi
  • ma dostęp do portu 427 (OpenSLP service)

 

Producent zaleca wyłączenie usługi SLP na niezaktualizowanych hiperwizorach ESXi, jak najszybsze zainstalowanie łatki bezpieczeństwa oraz przeskanowanie systemów w poszukiwaniu oznak naruszeń bezpieczeństwa.

Według Shodan.io, ponad połowa publicznie dostępnych, zaszyfrowanych hiperwizorów ESXi, należała do OVH (stan na 4 lutego).

OVHCloud opublikował raport w którym wskazuje, że luka bezpieczeństwa CVE-2021-21974 jest wykorzystywana w operacjach ransomware.
Szkodliwe oprogramowanie szyfruje pliki maszyn wirtualnych kluczem publicznym tworzonym w /tmp/public.pem.

Rozszerzenia wyszukiwane w systemie: “.vmdk”, “.vmx”, “.vmxf”, “.vmsd”, “.vmsn”, “.vswp”, “.vmss”, “.nvram”,”*.vmem”.

W celu odblokowania plików maszyn wirtualnych, malware stara się wyłączyć konkretne VMki, co regularnie nie działa zgodnie z planem twórców.

Źródło:

VMware

Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.

Opublikowane przez: CERT EXATEL

Inne artykuły_