歐洲預警！VMWare老漏洞遭大規模勒索利用，已有數千個系統受影響

安全內參2月7日消息，歐洲網絡安全監管機構警告稱， 勒索軟件攻擊者正在“大規模主動利用”一個已存在近2年的VMWare ESXi漏洞。

這次攻擊被命名為 ESXiArgs，原因是勒索軟件加密文件后，會創建一個擴展名為.args的附加文件。研究人員稱，該文件中包含關于如何解密被鎖文檔的信息。

安全大數據公司Censys對勒索信息進行了檢索和披露，顯示 歐洲和北美已有數千臺服務器遭到破壞。奧地利計算機安全應急響應小組在周一也發出警告，稱“ 至少有3762個系統”受到了影響。

據悉，意大利、法國、芬蘭、美國、加拿大等國均遭到攻擊。美聯社報道稱， 勒索攻擊發生時，意大利電信公司出現大規模互聯網中斷，意大利總理辦公室已就勒索攻擊發布了公告。

遭利用漏洞在兩年前披露，

PoC已大范圍傳播

根據VMWare官方介紹，ESXi這款產品屬于“裸機管理程序……可直接訪問并控制底層資源”。這種對關鍵文件的訪問能力，恰恰是攻擊者借以破壞大量用戶資源的突破口。

遭利用的VMWare ESXi漏洞編號為 CVE-2021-21974，已經在2021年2月正式發布補丁。政府機構和網絡安全專家敦促各系統管理員，應立即對未經補丁修復的服務器進行更新。

該漏洞最初由俄羅斯安全公司Positive Technologies的Mikhail Klyuchnikov發現。這家公司曾因向黑客團伙銷售“網絡工具”而受到美國商務部的制裁。

目前沒有任何跡象表明，Klyuchnikov的披露與商務部制裁或者當前勒索攻擊活動有關。VMWare官方在漏洞確認中還對Klyuchnikov表達了感謝。

2021年5月以來，已經出現了針對CVE-2021-21974漏洞的有效概念驗證（PoC），但目前還不清楚ESXiArgs攻擊中采取的是不是同樣的方法。

法意芬多國發布預警，

要求立刻安裝補丁

法國計算機應急響應小組（CERT-FR）在上周五發布公告，就此次勒索軟件攻擊發出警告。

意大利國家網絡安全局也在上周六晚間表示，此漏洞正被用于“散播勒索軟件”。

法國CERT負責人Mathieu Feuillet在推特上透露，該小組收到了“大量與此次事態相關的報告”，并強調要“緊急”處理。

法國云計算公司OVHCloud的首席信息安全官Julien Levrard警告稱，該公司的技術團隊在全球范圍內持續檢測勒索軟件攻擊。

Levrard表示，OVHCloud團隊最初以為此次攻擊與Nevada勒索軟件有關，但隨后發現是“錯誤關聯”，目前暫時無法做出確切歸因。

芬蘭網絡安全中心Kyberturvallisuuskeskus強調，“應立即安裝”安全補丁，并警告稱“考慮到影響范圍巨大，尚未更新的服務器很可能被黑客入侵。”