免责声明
文章仅作技术性分享,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及团队不为此承担任何责任。
漏洞概述
团队威胁情报监测到国外勒索组织正利用ESXI历史漏洞进行勒索攻击。该是 VMware ESXi 平台的 SLP (Service Location Protocol) 服务中存在的一个堆溢出漏洞。SLP是一个在 ESXi 服务器上默认安装的网络服务,该服务将开放427端口。攻击者可以通过向427端口发送构造的恶意请求包触发SLP服务中的堆溢出漏洞造成远程代码执行,完成以上两种方式对虚拟化平台的攻击行为。
漏洞检测
漏洞影响版本:
ESXi70U1c-17325551 之前的 ESXi 版本 7.x
ESXi670-202102401-SG 之前的 ESXi 版本 6.7.x
ESXi650-202102101-SG 之前的 ESXi 版本 6.5.x
漏洞检测:
(1)查看ESXi的版本
方式1:登陆EXSi后台,点击帮助-关于,即可获取版本号。
方式2:访问EXSi终端,输入“vmware -vl”命令即可获取版本号。
(2)查看OpenSLP服务是否开启
访问EXSi终端,输入“chkconfig --list | grep slpd”命令即可查看OpenSLP服务是否开启。输出“slpd on”为开启,输出“slpd off”则代表未开启。
POC
EXP已公开
勒索风险自查
步骤一:检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在,建议立即删除该文件。
步骤二:检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,应及时删除。
勒索处置建议
步骤一:立即隔离受感染的服务器,进行断网并进行应急处置;
步骤二:使用数据恢复工具恢复数据或重装ESXi
美国CISA发布了 ESXiArgs 勒索软件恢复脚本,相关链接如下:
https://github.com/cisagov/ESXiArgs-Recover
步骤三:重复“勒索风险自查”步骤;
步骤四:恢复修改后的部分文件
(1)查看/usr/lib/vmware目录下的index.html文件是否为勒索信,如果是,立即删除该文件。
(2)查看/etc/目录下是否存在motd文件,如果存在,立即删除。
漏洞加固建议
加固方案1:升级ESXi至如下版本
ESXi7.0 版本:升级到 ESXi70U1c-17325551 版本及以上
ESXi6.7 版本:升级到 ESXi670-202102401-SG 版本及以上
ESXi6.5 版本:升级到 ESXi650-202102101-SG 版本及以上
加固方案2:在ESXi中禁用OpenSLP服务
禁用OpenSLP属于临时解决方案,该临时解决方案存在一定风险,建议用户可根据业务系统特性审慎选择采用临时解决方案:
1、使用以下命令在 ESXi 主机上停止SLP 服务:
/etc/init.d/slpd stop
2、运行以下命令以禁用 SLP 服务且重启系统后生效:
esxcli network firewall ruleset set -r CIMSLP -e 0
chkconfig slpd off
3、运行此命令检查禁用 SLP 服务成功:
chkconfig --list | grep slpd
若输出slpd off 则禁用成功
停止SLP服务后,运行攻击脚本发现427端口已经关闭,漏洞无法进行利用。
原文始发于微信公众号(0x6270安全团队):CVE-2021-21974 VMware ESXi历史漏洞威胁预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论