美國網路安全暨基礎設施安全局(CISA)和FBI,針對受ESXiArgs勒索軟體攻擊的組織,發布解決指引與檔案恢復腳本,恢復腳本會藉由重新創建VMware ESXi伺服器上,遭到加密的配置檔案,恢復虛擬機器存取,目前受攻擊組織已經可以在GitHub頁面下載該腳本。
VMware在2月6日的時候,向虛擬機器管理程式VMware ESXi用戶發出警告,提到近期ESXiArgs勒索軟體興起,用戶應該採取保護措施。VMware於部落格提到,他們還沒有尋找到用於傳播勒索軟體的零日漏洞,但多數報告皆指出,被用於攻擊的是過保固不受支援產品中的已知漏洞。
該已知漏洞是2年前VMware已經修補的CVE-2021-21974,是由ESXi主機中的OpenSLP服務堆緩衝溢位造成,擁有連接埠427存取權限的攻擊者,可以觸發ESXi主機中OpenSLP服務的漏洞,導致遠端程式碼執行。VMware建議用戶升級至最新受支援的vSphere元件外,並在ESXi中停用OpenSLP服務,以避免受ESXiArgs勒索軟體攻擊。
雖然VMware已經在2021年2月發布修補程式,因此所有ESXi版本都應該預設停用會被用來攻擊的連接埠427,但新一波攻擊鎖定未應用修補程式或是未升級程式的系統,攻擊者在獲得系統存取權限後部署ESXiArgs勒索軟體,勒索軟體會加密ESXi伺服器上的配置檔案,使得虛擬機器服務無法正常運作。
目前全球已有3,800多臺伺服器受到ESXiArgs攻擊,其中不少發生在歐洲,所以也引起了歐洲多國政府的關注。現在CISA和FBI針對ESXiArgs勒索軟體,釋出解決指引和恢復腳本,CISA和FBI提到,除了更新軟體和停用OpenSLP服務外,用戶還應該確保ESXi管理程序未暴露於網際網路上,如果已經受到ESXiArgs勒索軟體攻擊,便可以使用CISA和FBI所提供的腳本,嘗試恢復檔案存取。
嘗試使用恢復腳本的組織,都應該在部署之前仔細檢查腳本是否適用於該組織環境,恢復腳本不會刪除加密的配置檔案,而是創建新的配置檔案,使用戶能夠重新存取虛擬機器。另外,CISA和FBI也建議用戶檢查ESXi主機與訪客虛擬機器的日誌記錄,以確認是否存在異常活動,並且考慮限制進出主機與訪客虛擬機器網段的非必要流量。
熱門新聞
2024-11-29
2024-11-20
2024-11-15
2024-11-15
2024-12-19