勒索病毒攻击 VMware ESXi 主机

漏洞详情

攻击者利用 VMware ESXi 主机的漏洞，执行恶意代码并加密主机上的虚拟机文件。该漏洞最初由 VMware 在去年发布的安全补丁中被揭示，并建议用户尽快更新以防止此类攻击。许多系统管理员未能及时应用补丁，导致这些服务器成为勒索病毒的攻击目标。

根据分析，攻击者通过某些未修补的漏洞，能够远程访问受影响的ESXi主机。恶意软件会加密这些主机上的虚拟机磁盘文件，造成大量数据丢失，要求受害者支付赎金以恢复数据。

攻击方式

目前，针对 VMware ESXi 主机的勒索病毒利用的是CVE-2023-28569和CVE-2023-28570漏洞。攻击者通过远程执行恶意代码，能够控制未修补的系统，进一步传播勒索病毒。

一旦病毒成功入侵，受害主机上的虚拟机文件（通常包含关键业务数据和应用程序）会被加密。勒索者随后会要求受害者支付赎金，以换取解密密钥。根据受害者的数据重要性，赎金要求可能会非常高。

影响的版本

这个漏洞影响了多个版本的 VMware ESXi 主机，包括一些较旧版本和未及时更新的系统。专家表示，ESXi 7.x 及之前的版本受到攻击的风险最大。

防护措施

尽管该漏洞存在，但有几项措施可以帮助减轻这一威胁。专家建议：

• 立即更新： 系统管理员应确保所有 ESXi 主机都已安装 VMware 提供的最新安全补丁，特别是针对 CVE-2023-28569 和 CVE-2023-28570。
• 禁用不必要的服务： 如果不使用某些远程访问服务，可以考虑禁用它们，以减少攻击面。
• 加强监控： 增强对 ESXi 主机的安全监控，及时发现异常活动并进行响应。
• 定期备份： 定期对虚拟机数据进行备份，以便在发生攻击时能够快速恢复。

原文始发于微信公众号（网安百色）：勒索病毒攻击 VMware ESXi 主机