Af Eskil Sørensen, 07/02/23
VMware har i går opfordret sine kunder om at installere de seneste sikkerhedsopdateringer og deaktivere OpenSLP-tjenesten, efter at der er observeret en kampagne med ransomware-angreb mod internetudsatte og sårbare ESXi-servere.
Der er ikke tale om udnyttelse af en ny 0-dagssårbarhed, men en ældre sag fra februar 2021 (CVE-2021-21974), som ukendte trusselsaktører kan udnytte til at opnå muligheden for at fjernafvikle kode. Det er det, som trusselsaktørerne anvender til at kryptere VMware ESXi-servere.
CVE-2021-21974 påvirker følgende:
- ESXi versions 7.x før ESXi70U1c-17325551
- ESXi versions 6.7.x før ESXi670-202102401-SG
- ESXi versions 6.5.x før ESXi650-202102101-SG
Den anvendte malware er blevet kendt som ESXiArgs ransomware og er ifølge Bleeping Computer blevet implementeret som en del af en massiv bølge af igangværende angreb, der allerede har påvirket tusindvis af sårbare mål verden over. Sikkerhedsfirmaet Checkpoint oplyser i en pressemeddelelse, at det massive cyberangreb på ESXi-servere anses for at være det mest omfattende cyberangreb, der nogensinde er rapporteret på ikke-Windows enheder.
Ifølge VMwares advisory har trusselsaktørerne også rettet sig også mod produkter, der er 'væsentligt forældede' eller allerede har nået deres End of General Support (EOGS).
Også Center for cybersikkerhed har udsendt et varsel om sårbarheden, efter at franske CERT har udsendt en tilsvarende advarsel.
Links:
https://www.cfcs.dk/da/handelser/varsler/varsel-om-udnyttelse-af-aldre-sarbarhed-i-vmware-esxi/
https://blog.checkpoint.com/2023/02/06/massive-ransomware-attack-targets-vmware-esxi-servers/