虛擬管理平台漏洞  新一波勒索軟體攻擊目標

編譯／鄭智懷

法國「資訊攻擊監控、警示暨應變中心」（CERT-FR）在本月稍早發布的報告警告，駭客正積極利用虛擬管理平台VMware ESXi伺服器中，大約兩年以前的安全漏洞CVE-2021-21974入侵並部署勒索軟體。

報告指出，駭客用來執行入侵的CVE-2021-21974，VMware早在2021年2月23日就已經發布更新，修補該漏洞。該業者當時的報告指出，由於OpenSLP連接埠出現溢出錯誤，可能導致任意方執行遠端控制。

而近期的攻擊行動主要鎖定6.5版和6.7版，以及更久之前的ESXi伺服器；不過，7.0版也可能會受到CVE-2021-21974影響，存有被入侵的風險。根據統計，全球已經有超過120台ESXi伺服器在本次勒索軟體攻擊中遭到感染與破壞。

各界對於駭客利用CVE-2021-21974執行入侵，進而部署的勒索軟體類型看法不一，各有歧見。

 法國雲端服務商OVHcloud主張，大規模針對ESXi伺服器的攻擊行動目標是為了植入在勒索軟體Rust基礎上衍伸出的新型勒索軟體Nevada。而在勒索軟體Rust基礎上開發出的新型勒索軟體還包含BlackCat、Hive、Luna、Nokoyawa、RansomExx 和 Agenda等。

資安新聞網站《Bleeping Computer》則提出不同的看法，其分析指出，贖金紀錄顯示本次攻擊與勒索軟體Nevada毫無關聯；駭客所部署的應該是名為ESXiArgs的新型勒索軟體。該勒索軟體在受感染的伺服器上以.vmxf、.vmx、.vmdk、.vmsd 和 .nvram等檔名的檔案進行加密，接著為每個加密檔案創建一個.args文件檔。

專家建議，為了避免遭到駭客利用CVE-2021-21974入侵所展開的勒索軟體攻擊，建議用戶將ESXi升級到最新版本，並且把OpenSLP連接埠的的存取限制為受信任的IP位址。

資料來源：BleepingComputer、The Hacker News

瀏覽 481 次