باگ امنیتی باج افزار ESXiArgs در سرورهای VMware ESXi
در تاریخ 8 دسامبر 2022 خبر از یک باگ امنیتی توسط VMware ESXi منتشر شد که در آن گزارش از خطرات فعال بودن سرویس OpenSLP خبر داده بود، خبری که بسیاری شاید توجهای به آن نداشتند تا اینکه از دیروز هکران از همین راه نفوذ استفاده کرده اند و بصورت جهانی بسیاری از سرورهای که توسط این مجازی ساز مدیریت می شدند را مورد حمله قرار دهند.
هکرها با استفاده از آسیب پذیری CVE-2021-21974 اقدام به استقرار باج افزار در سرورهای VMware ESXi می کنند.
این آسیب پذیری از نوع heap overflow , در سرویس OpenSLP رخ میدهد و دارای شدت بالا و امتیاز 8.8 هست.
آسیب پذیری در 23 فوریه 2021 ، 5 اسفند 1399 ، انتشار و اصلاح شده. مهاجمی که در شبکه ESXi هست و دسترسی به پورت 427 دارد می تواند این آسیب پذیری اکسپلویت و کد دلخواه رو اجرا کند.
برای جلوگیری از آسیب پذیری باید بروزرسانی کنید، اگه نتونید باید سرویس SLP رو غیرفعال کنید.
با اینکه آسیب پذیری دو سال پیش منتشر شده ، اما هنوز هم سرورهای آسیب پذیر زیادی در ایران وجود دارند که طی 48 ساعت اخیر هدف حمله قرار گرفته اند.
CERT فرانسه در این خصوص هشداری صادر کرده و توصیه کرده که اصلاحیه را اعمال کنید و اگر سروری دارید که اصلاحیه را اعمال نکرده ، حتما بررسی کنید که هک نشده باشد.
کمپانی فرانسوی OVHcloud هم هشداری صادر کرده و احتمال دادند که این حملات مرتبط با باج افزار Nevada باشد.
باج افزار ESXiArgs :
با تحقیقاتی که انجام شده ، حملات منتسب به یک باج افزار جدید بنام ESXiArgs می باشد. این باج افزار فایلهای .vmxf, .vmx, .vmdk, .vmsd, و.nvram را رمزگذاری می کند و یک فایل .args برای هر فایل رمز شده با متادیتا (احتمالا برای رمزگشایی) ایجاد میکند.
اگرچه گروه باج افزاری در یادداشت خود اعلام کرده فایلهای قربانی ها را هم به سرقت برده اند اما برخی اعلام کردند که با بررسی ترافیک 90 روزه متوجه شدند که چنین چیزی درست نبوده است.
لیست نسخههای آسیب پذیر:
VMware ESXi 5.5.0 build-2068190
VMware ESXi 5.5.0 build-3248547
VMware ESXi 5.5.0 build-5230635
VMware ESXi 6.0.0 build-3029758
VMware ESXi 6.0.0 build-3073146
VMware ESXi 6.0.0 build-4192238
VMware ESXi 6.0.0 build-5224934
VMware ESXi 6.5.0 build-10719125
VMware ESXi 6.5.0 build-13932383
VMware ESXi 6.5.0 build-4887370
VMware ESXi 6.5.0 build-5224529
VMware ESXi 6.5.0 build-8294253
VMware ESXi 6.7.0 build-10764712
VMware ESXi 6.7.0 build-13006603
VMware ESXi 6.7.0 build-13981272
VMware ESXi 6.7.0 build-14320388
در صورتی که قربانی این باج افزار شدهاید، از طریق وب سایت زیر می توانید نسبت به رمزگشایی فایلهای خود اقدام نمایید.
