最后更新于2023年2月10日(星期五)16:55:49
上周,多个组织 发出了警告 一场名为“ESXiArgs”的勒索软件袭击了VMware ESXi服务器, 据称是利用了cve -2021-21974——一个近两年的堆溢出漏洞. 两年. 然而,, Rapid7的研究发现,相当数量的ESXi服务器可能仍然容易受到攻击. 我们相信, 满怀信心, 至少有18个,在撰写本文时,581个易受攻击的面向互联网的ESXi服务器.
18581这个数字是根据声纳遥测得出的. 我们利用TLS证书识别签名来确定特定服务器是合法的ESXi服务器. 然后, 在从结果中去除可能的蜜罐之后, 我们根据易受攻击的构建id列表检查了扫描服务器的构建id.
Sonar项目是Rapid7的一项研究工作,旨在通过主动分析公共网络来提高安全性. 作为项目的一部分, 我们对70多种不同的服务和协议进行互联网范围的调查,以深入了解全球常见漏洞的暴露情况.
我们还观察到针对ESXi服务器的其他事件, 与ESXiArgs运动无关, 也可能利用cve - 2021 - 21974. ransomexx2 -一种用Rust编写的针对Linux的相对较新的勒索软件,已被观察到利用易受攻击的ESXi服务器. 根据最近的一项研究 IBM安全X-Force报告, 用Rust编写的勒索软件比用更常见的语言编写的勒索软件具有更低的反病毒检测率.
CISA问题解决了,某种程度上
美国.S. 网络安全和基础设施安全局(CISA)周三发布了一份 ransomware decryptor 帮助受害者从ESXiArgs的攻击中恢复过来. 然而, 需要注意的是,该脚本不是万能的,需要额外的工具才能完全恢复. 此外, 报告表明 活动背后的威胁者修改了他们的攻击来减轻解密器.
该脚本的工作原理是允许用户注销已被勒索软件加密的虚拟机,并用新的配置文件重新注册. 但是,您仍然需要对虚拟机的加密部分进行备份才能进行完全恢复.
解密脚本的主要好处是,它使用户能够在后台从备份中恢复数据时将虚拟机恢复到工作状态. 这对于没有基于虚拟化的灾难恢复功能的传统备份工具的用户特别有用.
Rapid7的建议
拒绝访问服务器. 除非服务绝对需要在互联网上,否则不要将其暴露在互联网上. 这些攻击的一些受害者将这些服务器暴露在开放的互联网上, 但可以通过限制访问允许列出的IP地址来获得同样多的商业价值. 如果您正在运行ESXi服务器, 或者任何服务器, 默认拒绝访问该服务器,除非来自受信任的IP空间.
修补易受攻击的ESXi服务器. VMware发布了一个补丁 cve - 2021 - 21974 大约两年前. 如果您的环境中有未打补丁的ESXi服务器,请单击该链接并立即打补丁.
制定并坚持修补策略. 打补丁无疑是有挑战的. 然而, 这个事件很好地说明了为什么制定一个补丁策略并坚持下去是至关重要的.
备份虚拟机. 确保您有一个适当的备份解决方案,即使是针对虚拟机. 如上所述,中央情报局发布的解密脚本只是部分修复. 从cve - 2021 - 21974相关攻击中完全恢复的唯一方法是通过操作备份. 现在有各种各样的备份解决方案可用于保护虚拟机.
德鲁·伯顿对本文也有贡献.
