虛擬管理平台漏洞 新一波勒索軟體攻擊目標
編譯/鄭智懷
法國「資訊攻擊監控、警示暨應變中心」(CERT-FR)在本月稍早發布的報告警告,駭客正積極利用虛擬管理平台VMware ESXi伺服器中,大約兩年以前的安全漏洞CVE-2021-21974入侵並部署勒索軟體。
報告指出,駭客用來執行入侵的CVE-2021-21974,VMware早在2021年2月23日就已經發布更新,修補該漏洞。該業者當時的報告指出,由於OpenSLP連接埠出現溢出錯誤,可能導致任意方執行遠端控制。
而近期的攻擊行動主要鎖定6.5版和6.7版,以及更久之前的ESXi伺服器;不過,7.0版也可能會受到CVE-2021-21974影響,存有被入侵的風險。根據統計,全球已經有超過120台ESXi伺服器在本次勒索軟體攻擊中遭到感染與破壞。
各界對於駭客利用CVE-2021-21974執行入侵,進而部署的勒索軟體類型看法不一,各有歧見。
法國雲端服務商OVHcloud主張,大規模針對ESXi伺服器的攻擊行動目標是為了植入在勒索軟體Rust基礎上衍伸出的新型勒索軟體Nevada。而在勒索軟體Rust基礎上開發出的新型勒索軟體還包含BlackCat、Hive、Luna、Nokoyawa、RansomExx 和 Agenda等。
資安新聞網站《Bleeping Computer》則提出不同的看法,其分析指出,贖金紀錄顯示本次攻擊與勒索軟體Nevada毫無關聯;駭客所部署的應該是名為ESXiArgs的新型勒索軟體。該勒索軟體在受感染的伺服器上以.vmxf、.vmx、.vmdk、.vmsd 和 .nvram等檔名的檔案進行加密,接著為每個加密檔案創建一個.args文件檔。
專家建議,為了避免遭到駭客利用CVE-2021-21974入侵所展開的勒索軟體攻擊,建議用戶將ESXi升級到最新版本,並且把OpenSLP連接埠的的存取限制為受信任的IP位址。
資料來源:BleepingComputer、The Hacker News
瀏覽 564 次