ESXiArgs 勒索軟件攻擊事件分析

一. 背景

法國計算機緊急響應小組 (CERT-FR) 警告稱[1]，攻擊者利用VMware ESXi 服務器一個已有兩年之久的遠程代碼執行漏洞，以部署新的 ESXiArgs 勒索軟件。

該安全漏洞編號為 CVE-2021-21974 [2]，由 OpenSLP 服務中的堆溢出漏洞引起，未經身份驗證的攻擊者可以利用該漏洞發起攻擊，漏洞利用難度低。

二. 漏洞信息

CVE-2021-21974，攻擊者如果與ESXi處于同一網段且可以訪問427端口，可以通過向427端口發送構造的惡意請求包觸發OpenSLP服務中的堆溢出漏洞，最終造成遠程代碼執行。

在2021年2月，VMware公司就已發現相關程序漏洞并發布了補丁程序。且該漏洞的PoC也早已經公開[3]，近期攻擊針對的是未安裝補丁程序的舊版本產品。

CVE-2021-21974影響以下系統：

• ESXi70U1c-17325551之前的 ESXi 版本 7.x
• ESXi670-202102401-SG之前的 ESXi 版本 6.7.x
• ESXi650-202102101-SG之前的 ESXi 版本 6.5.x

根據網絡測繪引擎[4]的數據顯示，目前實際主要受影響的版本有6.7.0、6.5.0、6.0.0、5.5.0等。

圖1 被勒索資產軟件版本分布

三. 資產暴露情況分析

網絡測繪平臺查詢結果顯示，ESXi全球暴露資產數量8.4W+，主要分布在法國，美國，比利時，中國，德國等。

圖2 ESXi全球資產暴露國家分布

攻擊主要針對 7.0 U3i 之前版本的 ESXi 服務器的 OpenSLP 端口(427)。查詢目前暴露427端口的資產有2200多臺，如圖3所示，而在2023年2月5日查詢該數據為700臺，且還在不斷增加中。該數據目前暫不全面，部分被攻擊的服務器開放了427端口，但是并不在此列表中，猜測此端口的數據正在測繪中。

針對此類漏洞，我們可以提前做好資產的攻擊面管理。不僅僅是ESXi，其他的重要基礎設施，例如政府網站服務，云原生服務組件，5G網元，工業互聯網，車聯網等等，都要及早做好風險的管理和緩解。

Gartner在2022年將外部攻擊面管理（External Attack Surface Management，EASM）列入到了2022年安全與風險管理趨勢中，可見其重要程度。而外部攻擊面管理，主要是持續測繪互聯網上各類資產與服務的暴露面，分析其面臨的攻擊面，特別是在攻擊者利用之前，及時發現并緩解潛在的風險。通過網絡測繪，可以梳理云上資產的暴露面，對云上資產的風險進行治理。

圖3 427端口資產暴露國家分布

四. 勒索現狀

被勒索資產頁面會展示交付贖金的比特幣地址，金額都為2個比特幣左右。

圖4 被勒索資產贖金頁面

根據勒索網頁特征，不同時間段查詢被勒索資產數量如表1所示：