勒索软件利用VMWare ESXi漏洞对VM磁盘进行加密

2021年2月3日11:08:17评论118 views字数 1030阅读3分26秒阅读模式

更多全球网络安全资讯尽在邑安全

至少一个主要的勒索软件团伙正在滥用 VMWare ESXi 产品中的漏洞，以接管部署在企业环境中的虚拟机并对其虚拟硬盘进行加密。

该攻击出于去年 10 月首次曝光，与部署 RansomExx 勒索软件的犯罪集团的入侵有关。

根据多名安全研究人员的说法，证据表明攻击者使用了 CVE-2019-5544 和 CVE-2020-3992，这是 VMware ESXi 中的两个漏洞，这是一个管理程序解决方案，允许多个虚拟机共享同一硬盘存储。

这两个漏洞都会影响服务定位协议（SLP），该协议被同一网络上的设备用来发现彼此。该协议也包含在 ESXi 中。

该漏洞使同一网络上的攻击者可以将恶意 SLP 请求发送到 ESXi 设备并对其进行控制，即使攻击者没有设法破坏 ESXi 实例通常向其报告的 VMWare vCenter Server。

在去年发生的攻击中，RansomExx 帮派可以访问公司网络上的设备并滥用此初始入口点来攻击本地 ESXi 实例并加密其虚拟硬盘，该实例用于存储来自多个虚拟机的数据由于 ESXi 虚拟磁盘通常用于集中来自多个其他系统的数据，因此对公司造成了巨大的破坏。

勒索软件组使用它们绕过所有 Windows 操作系统安全保护，方法是关闭虚拟机并直接在虚拟机管理程序上加密 VMDK。

目前，仅看到 RansomExx（也称为 Defray777）帮派滥用此技巧，但在上个月的一次更新中，Babuk Locker 勒索软件的运营商也宣布了一个功能 - 尽管尚未成功进行攻击。

BabukLocker 作者声称他们的勒索软件现在可以加密基于 * NIX 系统，NAS 设备，和 VMware ESXi 工作站。

建议依赖 VMWare ESXi 来管理其虚拟机使用的存储空间的公司的系统管理员应应用必要的 ESXi 补丁或禁用 SLP 支持以防止不需要协议时进行攻击。

原文来自: Securityaffairs

原文链接: https://securityaffairs.co/wordpress/114124/malware/ransomware-attack-vmware-esxi.html

欢迎收藏并分享朋友圈，让五邑人网络更安全

勒索软件利用VMWare ESXi漏洞对VM磁盘进行加密

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！

CISA 将与 MITRE 的 CVE 计划合同延长 11 个月