از مشتریان VMware خواسته میشود تا یک آسیبپذیری را در هایپروایزر ESXi خود که برای اولین بار در سال 2021 فاش شده بود، اصلاح کنند تا تأثیر یک کمپین باجافزاری در حال انجام را کاهش دهند.
کارشناسان امنیت سایبری دولتی در فرانسه، سنگاپور و جاهای دیگر پس از انتشار گزارش هایی مبنی بر به خطر افتادن سرورها در ایتالیا، فرانسه، فنلاند، ایالات متحده و کانادا، زنگ خطر را به صدا درآورده اند.
رویترز گزارش داد که ده ها سرور در ایتالیا به خطر افتاده است، اما مقیاس واقعی تهدید جهانی هنوز ناشناخته است. جستجوی Shodan از فروشنده اطلاعات تاریک وب DarkFeed بیش از 300 قربانی را نشان داد، اگرچه حتی این احتمالاً نوک کوه یخ است.
هم آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و هم مرکز امنیت سایبری ملی بریتانیا (NCSC) ظاهراً از این کمپین آگاه هستند اما در زمان نگارش هیچ بیانیه رسمی منتشر نکرده بودند.
آسیبپذیری مورد بحث، CVE-2021-21974، مهاجمان را قادر میسازد تا با ایجاد یک مشکل سرریز پشته در OpenSLP، اجرای کد از راه دور را انجام دهند.
این نسخههای ESXi زیر را تحت تأثیر قرار میدهد:
نسخه های ESXi 7.x زودتر از ESXi70U1c-17325551
نسخه های ESXi 6.7.x زودتر از ESXi670-202102401-SG
نسخه های ESXi 6.5.x زودتر از ESXi650-202102101-SG
تیم پاسخگویی اضطراری رایانه سنگاپور (SingCERT) به کاربران و مدیران نسخههای محصول آسیبدیده توصیه میشود که فوراً به آخرین نسخهها ارتقا دهند.
“به عنوان یک اقدام احتیاطی، یک اسکن کامل سیستم نیز باید انجام شود تا هر گونه نشانه ای از سازش پیدا شود. همچنین به کاربران و مدیران توصیه میشود ارزیابی کنند که آیا پورت 427 هدف کمپین باجافزاری میتواند بدون ایجاد اختلال در عملیات غیرفعال شود یا خیر.
CERT همچنین آدرس های IP مرتبط با بازیگران باج افزار را منتشر کرد تا مدیران بتوانند قوانین فایروال را برای مسدود کردن آنها به روز کنند.
CERT فرانسه (CERT-FR) اضافه کرده است که SLP را می توان در هر سرور ESXi که به روز نشده است غیرفعال کرد تا خطر به خطر افتادن بیشتر کاهش یابد.
هویت گروه پشت این کمپین در حال حاضر ناشناخته است، اگرچه DarkFeed گفت هر کیف پول Bictoin که برای پرداخت به قربانیان ارائه می شود متفاوت است. هیچ سایت افشاگری مرتبط با گروه وجود ندارد، فقط یک شناسه برنامه پیامرسانی Tox برای تماس وجود دارد.
