VMware は本日、最新のセキュリティ アップデートをインストールし、インターネットに公開された脆弱な ESXi サーバーに対する大規模なランサムウェア攻撃キャンペーンの標的となった OpenSLP サービスを無効にするようにお客様に警告しました。
同社は、攻撃者はゼロデイ脆弱性を悪用しておらず、このサービスは 2021 年以降に発行された ESXi ソフトウェア リリースではデフォルトで無効になっていると付け加えました。
VMware によると、攻撃者は「著しく古い」製品や、すでに一般サポート (EOGS) が終了している製品も標的にしています。
「VMware は、これらの最近の攻撃で使用されたランサムウェアを広めるために未知の脆弱性 (0-day) が使用されていることを示唆する証拠を発見していません」と VMware は述べています。
「ほとんどのレポートは、ジェネラル サポートの終了 (EOGS) および/または大幅に古い製品が、VMware セキュリティ アドバイザリ (VMSA) で以前に対処および開示された既知の脆弱性の標的になっていると述べています。
「これを念頭に置いて、現在既知の脆弱性に対処するために、 vSphere コンポーネントの最新の利用可能なサポート対象リリースにアップグレードすることをお客様にお勧めします。さらに、VMware は ESXiで OpenSLP サービスを無効にすることを推奨しています。」
ESXiArgs ランサムウェア攻撃
VMware の警告は、未知の攻撃者が OpenSLP のセキュリティ上の欠陥 ( CVE-2021-21974 ) に対するパッチが適用されていない VMware ESXi サーバーの暗号化を開始した後に出されました。
ESXiArgs ランサムウェアとして知られるこのマルウェアは、現在進行中の攻撃の大規模な波の一部として展開されており、すでに世界中の何千もの脆弱なターゲットに影響を与えています (Censys の現在のデータによると、 2,400 以上のサーバー)。
攻撃者はマルウェアを使用して、侵害された ESXi サーバーで .vmxf、.vmx、.vmdk、.vmsd、および .nvra を暗号化し、「ransom.html」および「How to Restore Your Files.html」という名前の身代金メモを展開します。
ID Ransomware の Michael Gillespie は、 ESXiArgs 暗号化プログラムのコピーを分析し、残念ながら、これは安全な暗号化プログラムであり、復号化を可能にする暗号化バグがないことを明らかにしました。
セキュリティ研究者の Enes Sonmez は、これらの攻撃の影響を受けた VMware 管理者が仮想マシンを再構築してデータを無料で回復できるようにするガイドを共有しました。
また、 ESXiArgs ランサムウェアの技術的な詳細と、被害者がこの攻撃の経験を報告し、ファイルを回復するための支援を受けることができる専用の ESXiArgs サポート トピックもあります。
Comments