VMware 没有证据表明 ESXi Args 勒索软件攻击中存在零日漏洞利用

VMware表示，它没有发现任何证据表明正在进行的ESXiArgs勒索软件攻击背后的威胁行为者正在利用VMware ESXi服务器中的零日漏洞。“VMware尚未发现证据表明正在使用未知漏洞（0-day）来传播最近这些攻击中使用的勒索软件。“大多数报告指出，终止一般支持（EOGS）和/或明显过时的产品正成为已知漏洞的目标，这些漏洞之前已在VMware安全公告（VMSA）中解决和披露。

ESXi 是 VMware 的虚拟机管理程序，该技术允许组织在单个物理服务器上托管运行多个操作系统的多台虚拟化计算机。法国计算机应急响应小组（CERT-FR）是第一个注意到并发送有关攻击警报的小组。意大利国家网络安全局（ACN）和新加坡网络安全局也发出警告，要求组织立即采取行动保护其系统。来自 GreyNoise 的研究人员报告说，已观察到 19 个 IP 地址试图利用 CVE-2021-21974。

法国计算机应急响应小组（CERT-FR）警告说，威胁行为者正在以VMware ESXi服务器为目标来部署勒索软件。

CERT-FR 报告称，这些勒索软件攻击者背后的威胁行为者正在积极利用漏洞 CVE-2021-21974。此漏洞是 VMware ESXi 中的一个 OpenSLP 堆溢出缺陷，攻击者可利用该漏洞在易受攻击的设备上远程执行任意代码。此漏洞影响以下系统：

• 低于 ESXi7U70c-1 的 ESXi 17325551.x 版本

• 低于 ESXi6-7-SG 的 ESXi 版本 670.202102401.x

• 低于 ESXi6-5-SG 的 ESXi 版本 650.202102101.x

这家虚拟化巨头于 2021 年 21974 月解决了 CVE-2021-<> 漏洞。

“3 年 2023 月 2021 日，CERT-FR 意识到针对 VMware ESXi 虚拟机管理程序的攻击活动，目的是在其上部署勒索软件。”“在当前的调查状态下，这些攻击活动似乎利用了 CVE-21974-23 漏洞，该漏洞自 2021 年 6 月 6 日起已提供补丁。此漏洞会影响服务定位协议 （SLP） 服务，并允许攻击者远程利用任意代码。当前的目标系统将是版本 7.x 和 <>.<> 之前的 ESXi 虚拟机管理程序。

CERT-FR 敦促应用适用于 ESXi 虚拟机监控程序的所有修补程序，它还建议执行系统扫描以检测任何入侵迹象。

这家虚拟化巨头还建议在尚未更新的 ESXi 虚拟机管理程序上禁用 SLP 服务。“考虑到这一点，我们建议客户升级到 vSphere 组件的最新可用受支持版本，以解决当前已知的漏洞。”“此外，VMware 建议自 2021 年以来在 ESXi 中禁用 OpenSLP 服务，当时 ESXi 7.0 U2c 和 ESXi 8.0 GA 开始在默认情况下禁用该服务。”

VMware 还通知其客户，我们的勒索软件资源中心提供了常规勒索软件资源。

原文始发于微信公众号（黑猫安全）：VMware 没有证据表明 ESXi Args 勒索软件攻击中存在零日漏洞利用