حمله به سرورهای ESXi برای انتشار باج‌افزار و راه حل آن

حمله به سرورهای ESXi 

منابع امنیتی هشدار داده‌اند که مهاجمان با سوءاستفاده از ضعف امنیتی CVE-2021-21974، به‌طور گسترده در حال رخنه به سرورهای VMware ESXi و در ادامه آلوده‌سازی ماشین‌های مجازی بر روی آنها به باج‌افزار هستند.

CVE-2021-21974 در ۵ اسفند ۱۳۹۹ توسط شرکت وی‌ام‌ور (VMware) راه اندازی شد. این آسیب‌پذیری، ضعفی از نوع Heap-overflow است که سرویس OpenSLP در ESXi از آن متأثر می‌شود و بهره‌جویی موفق از آن در نهایت مهاجم را قادر به «اجرای کد دلخواه» (Execution of Arbitrary Code) می‌کند.

برخی منابع گزارش کرده‌اند که در جریان این حملات، مهاجمان از باج‌افزار Nevada برای رمزگذاری ماشین‌های مجازی استفاده می‌کنند. Nevada است که به زبان Rust برنامه‌نویسی شده و نخستین نسخه آن حدود دو ماه پیش شناسایی شد. گردانندگان این باج‌افزار، در تالارهای گفتگو در دارک‌وب به زبان‌های روسی و انگلیسی از مهاجمان دیگر و «دلال‌های دسترسی اولیه» (Initial Access Broker – به اختصار IAB) دعوت به همکاری می‌کنند.

در عین حال، منابع امنیتی دیگری نیز باج‌افزار مورداستفاده مهاجمان این حملات به سرورهای ESXi را ESXiArgs معرفی کرده‌اند.

به راهبران توصیه می‌شود جهت در امان ماندن از این تهدیدات ضمن محدودسازی دسترسی به سرویس SLP به نشانی‌های IP مجاز، اقدام به ارتقای ESXi کنند.

مرکز CISA ایالات متحده در تاریخ ۱۸ بهمن ۱۴۰۱ اقدام به انتشار ابزاری برای بازگردانی فایل‌های رمزگذاری شده توسط باج‌افزار ESXiArgs نموده که جزئیات آن در نشانی زیر قابل مطالعه است:

https://www.cisa.gov/uscert/ncas/current-activity/2023/02/07/cisa-releases-esxiargs-ransomware-recovery-script

چنانچه سرور ESXI شما در هر کدام از دیتا سنترهای داخلی و خارجی مورد این حمله قرارگرفته و سرورهای مجازی شما از دسترس خارج شده است، پیشنهاد میکنیم به مطب بازیابی سرور های ESXI مراجعه و مراحل قید شده را انجام دهید.