Francuski CERT ostrzegł w swoim komunikacie z 3 lutego przed kampanią eksploitującą podatność CVE-2021-21974 dla:
- ESXi wersja 7.x wcześniejsze niż ESXi70U1c-17325551
- ESXi wersja 6.7.x wcześniejsze niż ESXi670-202102401-SG
- ESXi wersja 6.5.x wcześniejsze niż ESXi650-202102101-SG.
Podatność uzyskała wartość punktową (CVSSv3) 8.8 – High.
Powyższa luka bezpieczeństwa pozwala na zdalne wykonanie kodu po spełnieniu poniższych warunków:
- atakujący znajduje się w tym samym segmencie sieci co serwer ESXi
- ma dostęp do portu 427 (OpenSLP service)
Producent zaleca wyłączenie usługi SLP na niezaktualizowanych hiperwizorach ESXi, jak najszybsze zainstalowanie łatki bezpieczeństwa oraz przeskanowanie systemów w poszukiwaniu oznak naruszeń bezpieczeństwa.
Według Shodan.io, ponad połowa publicznie dostępnych, zaszyfrowanych hiperwizorów ESXi, należała do OVH (stan na 4 lutego).
OVHCloud opublikował raport w którym wskazuje, że luka bezpieczeństwa CVE-2021-21974 jest wykorzystywana w operacjach ransomware.
Szkodliwe oprogramowanie szyfruje pliki maszyn wirtualnych kluczem publicznym tworzonym w /tmp/public.pem.
Rozszerzenia wyszukiwane w systemie: “.vmdk”, “.vmx”, “.vmxf”, “.vmsd”, “.vmsn”, “.vswp”, “.vmss”, “.nvram”,”*.vmem”.
W celu odblokowania plików maszyn wirtualnych, malware stara się wyłączyć konkretne VMki, co regularnie nie działa zgodnie z planem twórców.
Źródło:
