VMware

管理者、ホスティング プロバイダー、およびフランスのコンピューター緊急対応チーム (CERT-FR) は、攻撃者が 2 年前に発生したリモート コード実行の脆弱性に対するパッチが適用されていない VMware ESXi サーバーを積極的に標的にして、ランサムウェアを展開していると警告しています。

CVE-2021-21974として追跡されているこのセキュリティ上の欠陥は、OpenSLP サービスのヒープ オーバーフローの問題によって引き起こされ、認証されていない攻撃者が複雑さの低い攻撃で悪用できる可能性があります。

「現在の調査によると、これらの攻撃キャンペーンは脆弱性 CVE-2021-21974 を悪用しているように見えます。この脆弱性に対するパッチは 2021 年 2 月 23 日から利用可能になっています」と CERT-FR は述べています。

「現在対象となっているシステムは、バージョン 6.x および 6.7 より前の ESXi ハイパーバイザーです。」

入ってくる攻撃をブロックするには、管理者はまだ更新されていない ESXi ハイパーバイザーで脆弱な Service Location Protocol (SLP) サービスを無効にする必要があります。

CERT-FR は、できるだけ早くパッチを適用することを強く推奨していますが、パッチを適用していないシステムもスキャンして、侵害の兆候を探す必要があると付け加えています。

CVE-2021-21974 は、次のシステムに影響します。

  • ESXi70U1c-17325551 より前の ESXi バージョン 7.x
  • ESXi670-202102401-SG より前の ESXi バージョン 6.7.x
  • ESXi650-202102101-SG より前の ESXi バージョン 6.5.x

Mathieu Feuilet 警告 ESXi

フランスのクラウド プロバイダーである OVHcloud も本日、VMware ESXi サーバーを標的としたこの大規模な攻撃の波と Nevada のランサムウェア操作を関連付けるレポートを公開しました。

OVHcloud の CISO である Julien Levrard 氏は、次のように述べています。

「この攻撃は、明らかに OpenSLP ポート (427) を介して、7.0 U3i より前のバージョンの ESXi サーバーを主にターゲットにしています。」

新しい ESXiArgs ランサムウェア

ただし、この攻撃で確認されたランサム ノートからは、ネバダ ランサムウェアとは関係がなく、新しいランサムウェア ファミリーのようです。

約 4 時間前から、このキャンペーンの影響を受けた被害者ものフォーラムで攻撃の報告を開始し、データの復旧方法に関する支援と詳細情報を求めています。

ランサムウェアは、侵害された ESXi サーバー上のファイルを .vmxf、.vmx、.vmsd、および .nvram 拡張子で暗号化し、暗号化されたドキュメントごとにメタデータ (おそらく復号化に必要) を含む.argsファイルを作成します。

被害者は、ロックされたシステムで「ransom.html」および「How to Restore Your Files.html」という名前の身代金メモを発見しました。他の人は、メモはプレーンテキスト ファイルだと言いました。

ESXiArgs 身代金メモ
ESXiArgs 身代金メモ ()

ID Ransomware のMichael Gillespie氏は現在、「 ESXiArgs 」という名前でランサムウェアを追跡していますが、サンプルが見つかるまで、暗号化に弱点があるかどうかを判断する方法はないと語っています。

には、人々がこの攻撃の経験を報告している専用のサポート トピックがあります。

新しい情報またはマルウェアのコピーをお持ちの場合は、研究者が脆弱性を分析できるようにお知らせください。

これは発展途上の話であり、利用可能になり次第、新しい情報で更新されます…