VMware已修復的堆溢出漏洞被勒索軟件利用攻擊ESXi服務器

最近的網絡安全觀察中，VMware ESXi 管理程序是新一波黑客攻擊的目標，旨在在受感染的系統上部署勒索軟件。這些攻擊活動利用了VMware的 CVE-2021-21974 漏洞，該漏洞在VMware官方的公告描述為 OpenSLP 堆溢出漏洞，可能導致任意代碼的執行。已在 2021 年 2 月 23 日已經提供了安全補丁。

根據中國網絡安全行業門戶極牛網(GeekNB.com)的梳理，與 VMware ESXi 位于同一網段且有權訪問端口 427 的攻擊者可能會觸發 OpenSLP 服務中的堆溢出問題，從而導致遠程代碼執行。

安全研究人員表示，正在全球范圍內檢測到這些攻擊，人們懷疑這些攻擊與 2022 年 12 月出現的一種名為 Nevada 的基于 Rust 的新型勒索軟件有關。已知采用 Rust 的其他勒索軟件包括 BlackCat、Hive、Luna、Nokoyawa、RansomExx 和 Agenda。

值得注意的是，Nevada勒索軟件背后的組織也在自己購買受損的訪問權限，該組織有一個專門的團隊進行后期開發，并對感興趣的目標進行網絡入侵。

然而，在攻擊中看到的贖金票據與 Nevada 勒索軟件沒有任何相似之處，該病毒正在以 ESXiArgs 的名義進行跟蹤。

建議用戶升級到最新版本的 VMware ESXi 以降低潛在威脅，并將對 OpenSLP 服務的訪問限制為受信任的 IP 地址。