Az olasz és francia nemzeti kibervédelmi ügynökségek a hétvége során VMware ESXi szerverek elleni tömeges ransomware támadásokról adtak ki figyelmeztetést. A támadások a VMware ESXI egy sebezhetőségének (CVE-2021-21974) kihasználását célozzák, amelyhez már két éve elérhető a hibajavítás.
A Reuters információi szerint a zsarolóvírus támadásokban jelenleg elsősorban Franciaország, Finnország és Olaszország érintett, azonban az Egyesült Államokban és Kanadában is jelentettek eseteket. A támadásokról először a francia nemzeti CERT (CERT-FR) adott hírt.
Az olasz kibervédelmi ügynökség, az ACN február 4-i riasztása szerint már több olasz szervezetet ért ransomware támadás, miközben országos Internet kiesésről is érkeztek hírek, habár az internetszolgáltató szerint a hálózati kiesés egy nemzetközi hálózati probléma miatt következett be.
A VMware ESXI sérülékenységről
A CVE-2021-21974 azonosítón nyomon követett, magas kockázati besorolású (CVSS3 8.8) sebezhetőség az ESXI termékekben alkalmazott OpenSLP implementációt érinti, amely egy nyílt forráskódú megvalósítása a Service Location Protocol (SLP) nevű szolgáltatásnak. A memóriakezelési hiba kihasználása egy azonos hálózati szegmensben tartózkodó támadó számára távoli kódfuttatást tehet lehetővé, amennyiben hozzáféréssel rendelkezik a szolgáltatás által használt 427-es hálózati porthoz.
A gyártói közlemény szerint a sebezhetőség az ESXi 6.5.x, 6.7.x, és 7.x és a Cloud Foundation (ESXi) 3.x és 4.x termékeket érinti, azonban a 2021 februárjában kidott biztonsági frissítésekkel már javításra kerültek:
- ESXi 7.x (javítva a ESXi70U1c-17325551 és ennél későbbi verziókban)
- ESXi 6.7.x (javítva: ESXi670-202102401-SG és ennél későbbi verziókban)
- ESXi 6.5.x (javítva: ESXi650-202102101-SG és ennél későbbi verziókban)
- Cloud Foundation (ESXi) 4.x (javítva a 4.2 és ennél későbbi verziókban)
Amennyiben a frissítés nem kivitelezhető, megkerülő megoldás is lehetséges az SLP szolgáltatás tiltásával.
Mely zsarolóvírus kampányok ismertek?
Jalan pillanatban legalább három ransomware kampány ismert, ami a fenti sérülékenység kihasználását célozza:
Az NBSZ NKI javasolja minden érintett szervezet számára a frissített verzióra történő átállást.
A sérülékeny verziót futtató szervezetek számára javasolt a frissítésen túlmenően részletes víruskeresést is végezni!