勒索軟件幫派利用 VMWare ESXi 漏洞加密虛擬硬盤
至少一個主要的勒索軟件團伙正在濫用VMWare ESXi產品中的漏洞,以接管部署在企業環境中的虛擬機并對其虛擬硬盤進行加密。
該攻擊出于去年10月首次曝光,與部署RansomExx勒索軟件的犯罪集團的入侵有關。
根據多名安全研究人員的說法,證據表明攻擊者使用了CVE-2019-5544和CVE-2020-3992,這是VMware ESXi中的兩個漏洞 ,這是一個管理程序解決方案,允許多個虛擬機共享同一硬盤存儲。
這兩個漏洞都會影響服務定位協議(SLP),該協議被同一網絡上的設備用來發現彼此。該協議也包含在ESXi中。
該漏洞使同一網絡上的攻擊者可以將惡意SLP請求發送到ESXi設備并對其進行控制,即使攻擊者沒有設法破壞ESXi實例通常向其報告的VMWare vCenter Server。
在去年發生的攻擊中,RansomExx幫派可以訪問公司網絡上的設備并濫用此初始入口點來攻擊本地ESXi實例并加密其虛擬硬盤,該實例用于存儲來自多個虛擬機的數據由于ESXi虛擬磁盤通常用于集中來自多個其他系統的數據,因此對公司造成了巨大的破壞。
免費的威脅情報-識別并修補VMware ESX漏洞CVE-2019-5544和CVE-2020-3992。
勒索軟件組使用它們繞過所有Windows操作系統安全保護,方法是關閉虛擬機并直接在虛擬機管理程序上加密VMDK。
目前,僅看到RansomExx(也稱為Defray777)幫派濫用此技巧,但在上個月的一次更新中,Babuk Locker勒索軟件的運營商也宣布了一個功能-盡管尚未成功進行攻擊。
BabukLocker作者聲稱他們的勒索軟件現在可以加密基于* NIX系統,NAS設備,和VMware ESXi工作站
pic.twitter.com/yR3crnnUOW— Catalin Cimpanu(@campuscodi)2021年1月27日
建議依賴VMWare ESXi來管理其虛擬機使用的存儲空間的公司的系統管理員應應用必要的ESXi補丁或禁用SLP支持以防止不需要協議時進行攻擊。
