حمله به سرورهای ESXi برای انتشار باجافزار و راه حل آن
حمله به سرورهای ESXi
منابع امنیتی هشدار دادهاند که مهاجمان با سوءاستفاده از ضعف امنیتی CVE-2021-21974، بهطور گسترده در حال رخنه به سرورهای VMware ESXi و در ادامه آلودهسازی ماشینهای مجازی بر روی آنها به باجافزار هستند.
CVE-2021-21974 در ۵ اسفند ۱۳۹۹ توسط شرکت ویامور (VMware) راه اندازی شد. این آسیبپذیری، ضعفی از نوع Heap-overflow است که سرویس OpenSLP در ESXi از آن متأثر میشود و بهرهجویی موفق از آن در نهایت مهاجم را قادر به «اجرای کد دلخواه» (Execution of Arbitrary Code) میکند.
برخی منابع گزارش کردهاند که در جریان این حملات، مهاجمان از باجافزار Nevada برای رمزگذاری ماشینهای مجازی استفاده میکنند. Nevada است که به زبان Rust برنامهنویسی شده و نخستین نسخه آن حدود دو ماه پیش شناسایی شد. گردانندگان این باجافزار، در تالارهای گفتگو در دارکوب به زبانهای روسی و انگلیسی از مهاجمان دیگر و «دلالهای دسترسی اولیه» (Initial Access Broker – به اختصار IAB) دعوت به همکاری میکنند.
در عین حال، منابع امنیتی دیگری نیز باجافزار مورداستفاده مهاجمان این حملات به سرورهای ESXi را ESXiArgs معرفی کردهاند.
به راهبران توصیه میشود جهت در امان ماندن از این تهدیدات ضمن محدودسازی دسترسی به سرویس SLP به نشانیهای IP مجاز، اقدام به ارتقای ESXi کنند.
مرکز CISA ایالات متحده در تاریخ ۱۸ بهمن ۱۴۰۱ اقدام به انتشار ابزاری برای بازگردانی فایلهای رمزگذاری شده توسط باجافزار ESXiArgs نموده که جزئیات آن در نشانی زیر قابل مطالعه است:
چنانچه سرور ESXI شما در هر کدام از دیتا سنترهای داخلی و خارجی مورد این حمله قرارگرفته و سرورهای مجازی شما از دسترس خارج شده است، پیشنهاد میکنیم به مطب بازیابی سرور های ESXI مراجعه و مراحل قید شده را انجام دهید.