美国网络安全暨基础设施安全局(CISA)和FBI,针对受ESXiArgs勒索软件攻击的组织,发布解决指引与文件恢复脚本,恢复脚本会借由重新创建VMware ESXi服务器上,遭到加密的配置文件,恢复虚拟机访问,目前受攻击组织已经可以在GitHub页面下载该脚本。
VMware在2月6日的时候,向虚拟机管理程序VMware ESXi用户发出警告,提到近期ESXiArgs勒索软件兴起,用户应该采取保护措施。VMware于博客提到,他们还没有寻找到用于传播勒索软件的零日漏洞,但多数报告皆指出,被用于攻击的是过质保不受支持产品中的已知漏洞。
该已知漏洞是2年前VMware已经修补的CVE-2021-21974,是由ESXi主机中的OpenSLP服务堆缓冲溢出造成,拥有连接端口427访问权限的攻击者,可以触发ESXi主机中OpenSLP服务的漏洞,导致远程程序代码执行。VMware建议用户升级至最新受支持的vSphere组件外,并在ESXi中停用OpenSLP服务,以避免受ESXiArgs勒索软件攻击。
虽然VMware已经在2021年2月发布修补程序,因此所有ESXi版本都应该默认停用会被用来攻击的连接端口427,但新一波攻击锁定未应用修补程序或是未升级程序的系统,攻击者在获得系统访问权限后部署ESXiArgs勒索软件,勒索软件会加密ESXi服务器上的配置文件,使得虚拟机服务无法正常运行。
目前全球已有3,800多台服务器受到ESXiArgs攻击,其中不少发生在欧洲,所以也引起了欧洲多国政府的关注。现在CISA和FBI针对ESXiArgs勒索软件,发布解决指引和恢复脚本,CISA和FBI提到,除了更新软件和停用OpenSLP服务外,用户还应该确保ESXi管理程序未暴露于网际网络上,如果已经受到ESXiArgs勒索软件攻击,便可以使用CISA和FBI所提供的脚本,尝试恢复文件访问。
尝试使用恢复脚本的组织,都应该在部署之前仔细检查脚本是否适用于该组织环境,恢复脚本不会删除加密的配置文件,而是创建新的配置文件,使用户能够重新访问虚拟机。另外,CISA和FBI也建议用户检查ESXi主机与访客虚拟机的日志记录,以确认是否存在异常活动,并且考虑限制进出主机与访客虚拟机网段的非必要流量。