窥其全貌：从ESXi勒索看vSphere体系防护

从bleepingcomputer获悉，法国计算机紧急响应小组（CERT-FR）警告称，攻击者正积极针对VMware ESXi服务器中一个已有两年之久未打补丁的远程代码执行漏洞进行利用，部署新的ESXiArgs勒索软件。该历史漏洞的编号为CVE-2021-21974,它是VMware ESXi OpenSLP堆溢出漏洞，攻击者在与ESXi处于同一网段且能够访问427端口的情况下，构造恶意SLP请求触发OpenSLP服务中的堆溢出，从而导致远程代码执行。

在对于ESXi的攻击，攻击者和ESXi的网络要互通，才能实施攻击，如果ESXI主机暴露在公网上的没有打补丁，那么会有很大的遭受攻击的风险。然而，一般情况下，ESXI主机和外网是不能够直接连通的，攻击者要攻击到ESXI，就需要先突破外网防护从而攻击ESXi。

在最近的勒索时间中，是由于ESXi主机违规暴露在公网上，并且未及时修复相关漏洞，导致攻击者可直接利用ESXi的CVE-2021-21974漏洞控制ESXi，并上传勒索软件ESXiArgs到ESXi主机上，使得ESXiArgs对ESXi主机上后缀为：

.vmdk、.vmx、.vmxf、.vmsd、.vmsn、.vswp、.vmss、.nvram、.vmem的文件实施加密，最后向受害组织索取赎金。

‍经过对已公开的vSphere体系勒索事件以及APT事件进行统计，针对vSphere的攻击，70%是通过利用漏洞攻击vCenter管理平台后，再对其管理的ESXi主机进行的控制，其余30%是通过攻击边界资产或者钓鱼进入到内网后，直接对ESXi主机进行攻击，实施数据窃取或进行勒索。对于vSphere的攻击我们可从以下几方面进行解读。