VMwre ESXi szerverek elleni tömeges zsarolóvírus támadásokról érkezett figyelmeztetés

Az olasz és francia nemzeti kibervédelmi ügynökségek a hétvége során VMware ESXi szerverek elleni tömeges ransomware támadásokról adtak ki figyelmeztetést. A támadások a VMware ESXI egy sebezhetőségének (CVE-2021-21974) kihasználását célozzák, amelyhez már két éve elérhető a hibajavítás.

A Reuters információi szerint a zsarolóvírus támadásokban jelenleg elsősorban Franciaország, Finnország és Olaszország érintett, azonban az Egyesült Államokban és Kanadában is jelentettek eseteket. A támadásokról először a francia nemzeti CERT (CERT-FR) adott hírt.

A CERT-FR közleménye. Forrás: BleepingComputer

Az olasz kibervédelmi ügynökség, az ACN február 4-i riasztása szerint már több olasz szervezetet ért ransomware támadás, miközben országos Internet kiesésről is érkeztek hírek, habár az internetszolgáltató szerint a hálózati kiesés egy nemzetközi hálózati probléma miatt következett be.

A VMware ESXI sérülékenységről

A CVE-2021-21974 azonosítón nyomon követett, magas kockázati besorolású (CVSS3 8.8) sebezhetőség az ESXI termékekben alkalmazott OpenSLP implementációt érinti, amely egy nyílt forráskódú megvalósítása a Service Location Protocol (SLP) nevű szolgáltatásnak. A memóriakezelési hiba kihasználása egy azonos hálózati szegmensben tartózkodó támadó számára távoli kódfuttatást tehet lehetővé, amennyiben hozzáféréssel rendelkezik a szolgáltatás által használt 427-es hálózati porthoz.

A gyártói közlemény szerint a sebezhetőség az ESXi 6.5.x, 6.7.x, és 7.x és a Cloud Foundation (ESXi) 3.x és 4.x termékeket érinti, azonban a 2021 februárjában kidott biztonsági frissítésekkel már javításra kerültek:

  • ESXi 7.x (javítva a ESXi70U1c-17325551 és ennél későbbi verziókban)
  • ESXi 6.7.x (javítva: ESXi670-202102401-SG és ennél későbbi verziókban)
  • ESXi 6.5.x (javítva: ESXi650-202102101-SG és ennél későbbi verziókban)
  • Cloud Foundation (ESXi) 4.x (javítva a 4.2 és ennél későbbi verziókban)

Amennyiben a frissítés nem kivitelezhető, megkerülő megoldás is lehetséges az SLP szolgáltatás tiltásával.

Mely zsarolóvírus kampányok ismertek?

Jalan pillanatban legalább három ransomware kampány ismert, ami a fenti sérülékenység kihasználását célozza:

Az NBSZ NKI javasolja minden érintett szervezet számára a frissített verzióra történő átállást.

A sérülékeny verziót futtató szervezetek számára javasolt a frissítésen túlmenően részletes víruskeresést is végezni!