CISA針對受ESXiArgs勒索軟體攻擊的ESXi伺服器釋出恢復腳本

美國網路安全暨基礎設施安全局（CISA）和FBI，針對受ESXiArgs勒索軟體攻擊的組織，發布解決指引與檔案恢復腳本，恢復腳本會藉由重新創建VMware ESXi伺服器上，遭到加密的配置檔案，恢復虛擬機器存取，目前受攻擊組織已經可以在GitHub頁面下載該腳本。

VMware在2月6日的時候，向虛擬機器管理程式VMware ESXi用戶發出警告，提到近期ESXiArgs勒索軟體興起，用戶應該採取保護措施。VMware於部落格提到，他們還沒有尋找到用於傳播勒索軟體的零日漏洞，但多數報告皆指出，被用於攻擊的是過保固不受支援產品中的已知漏洞。

該已知漏洞是2年前VMware已經修補的CVE-2021-21974，是由ESXi主機中的OpenSLP服務堆緩衝溢位造成，擁有連接埠427存取權限的攻擊者，可以觸發ESXi主機中OpenSLP服務的漏洞，導致遠端程式碼執行。VMware建議用戶升級至最新受支援的vSphere元件外，並在ESXi中停用OpenSLP服務，以避免受ESXiArgs勒索軟體攻擊。

雖然VMware已經在2021年2月發布修補程式，因此所有ESXi版本都應該預設停用會被用來攻擊的連接埠427，但新一波攻擊鎖定未應用修補程式或是未升級程式的系統，攻擊者在獲得系統存取權限後部署ESXiArgs勒索軟體，勒索軟體會加密ESXi伺服器上的配置檔案，使得虛擬機器服務無法正常運作。

目前全球已有3,800多臺伺服器受到ESXiArgs攻擊，其中不少發生在歐洲，所以也引起了歐洲多國政府的關注。現在CISA和FBI針對ESXiArgs勒索軟體，釋出解決指引和恢復腳本，CISA和FBI提到，除了更新軟體和停用OpenSLP服務外，用戶還應該確保ESXi管理程序未暴露於網際網路上，如果已經受到ESXiArgs勒索軟體攻擊，便可以使用CISA和FBI所提供的腳本，嘗試恢復檔案存取。

嘗試使用恢復腳本的組織，都應該在部署之前仔細檢查腳本是否適用於該組織環境，恢復腳本不會刪除加密的配置檔案，而是創建新的配置檔案，使用戶能夠重新存取虛擬機器。另外，CISA和FBI也建議用戶檢查ESXi主機與訪客虛擬機器的日誌記錄，以確認是否存在異常活動，並且考慮限制進出主機與訪客虛擬機器網段的非必要流量。