ESXi 勒索病毒ESXiArgs 其 CVE-2021-21974 漏洞分析

已于 2023-04-18 20:26:53 修改
阅读量1.4k 收藏 2
点赞数
分类专栏: VMware 文章标签: 网络 安全 服务器
于 2023-02-07 08:43:49 首次发布
By songxwn.com
本文链接:https://blog.csdn.net/u010151855/article/details/128911467
版权

个人博客

https://songxwn.com

介绍

  • 该漏洞编号为CVE-2021-21974,由 OpenSLP 服务中的堆溢出问题引起,未经身份验证的攻击者可以此进行低复杂度攻击。
  • 该漏洞主要影响6.x 版和 6.7、7.0版本之前的 ESXi 管理程序,2021年2月23日 ,VMware曾发布补丁修复了该漏洞。(在此之后发布的版本不影响)
  • 该漏洞启动之后,主要破坏行为为停止所有虚拟机,并加密所有数据文件。

具体影响版本

大于以下版本则不受影响

  • ESXi versions 7.x prior to ESXi70U1c-17325551
  • ESXi versions 6.7.x prior to ESXi670-202102401-SG
  • ESXi versions 6.5.x prior to ESXi650-202102101-SG

被攻击之后的访问管理界面示例

线上生产环境ESXI防护方案

  • 停止SLP服务,并停止开机启动。
  • 防火墙过滤公网IP访问SLP等服务。
  • 停机升级到最新版本。

安全预防方案

  1. 安装ESXI系统尽量使用最新版发布版本。减少安全漏洞。
  2. 管理尽量使用内网IP,不使用公网IP,减少攻击面。
  3. ESXI密码设定尽量复杂,防止暴力破解密码。
  4. 可以考虑定期备份ESXI配置和虚拟机文件。

其他说明

  • 虽攻击者说明已盗取数据,但从历史流量来看,没有这个可能性。
  • 被攻击后,数据文件会被强加密,几乎不可能用正常手段恢复。
  • 目前从网上公布被攻击数据来看,中国大陆受到的攻击几乎没有。(即使有大量暴露且未打补丁的ESXI)

参考文档

新型勒索软件正攻击全球VMware ESXi 服务器 - FreeBuf网络安全行业门户

How to Disable/Enable the SLP Service on VMware ESXi (76372)

VMware社のESXiサーバを狙うランサムキャンペーン ESXiArgsに関する調査 - セキュリティ研究センターブログ (macnica.co.jp)

Songxwn
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VMware vcenter/ESXI系列漏洞总结
做自己喜欢的事,并将其发挥到极致!
06-22 2万+
本文章主要对VMware ESXI、VMware VCenter系列进行漏洞整理,更多内容后续补充!
VMware ESXi OpenSLP 堆溢出漏洞CVE-202121974
qq_42067124的博客
02-08 1万+
漏洞编号为CVE-2021-21974,由 OpenSLP 服务中的堆溢出问题引起,未经身份验证的攻击者可以此进行低复杂度攻击。该漏洞主要影响6.x 版和 6.7 版本之前的 ESXi 管理程序
探索VMware ESXi安全漏洞CVE-2021-21974:一键RCE PoC
gitblog_00087的博客
06-09 458
探索VMware ESXi安全漏洞CVE-2021-21974:一键RCE PoC 项目地址:https://gitcode.com/Shadow0ps/CVE-2021-21974 1、项目介绍 在网络安全的世界里,及时发现和利用漏洞是保障系统安全的关键。CVE-2021-21974是一个影响VMware ESXi的远程代码执行(RCE)漏洞,这个开源项目提供了针对该漏洞的Proof-of-Co...
VMware ESXi OpenSLP堆溢出漏洞,附本次勒索软件ESXiArgs恶意文件分析(CNVD-2021-12321对标CVE-2021-21974
鸭梨山大。
02-14 3879
近日以VMware ESXi服务器为目标的大规模勒索软件攻击正在席卷全球,包括法国、芬兰、加拿大、美国、意大利等多个国家数千台服务器遭到入侵。攻击者利用了2021年2月公开的高危漏洞(CNVD-2021-12321,),可以向WMware ESXi软件目标服务器427端口发送恶意构造的数据包,从而触发其OpenSLP服务堆缓冲区溢出,并执行任意代码,借以部署新的 ESXiArgs 勒索软件。一、漏洞详情VMware vSphere是美国威睿公司推出一套服务器虚拟化解决方案,包括虚拟化、管理和界面层。
大规模 ESXiArgs 勒索软件攻击以全球 VMware ESXi 服务器为目标
热门推荐
网络研究观
02-08 1万+
攻击者利用 VMware ESXi 服务器一个已有两年之久的远程代码执行漏洞未打补丁,以部署新的 ESXiArgs 勒索软件。
VMware ESXi OpenSLP 堆溢出漏洞CVE-202121974勒索事件
qq_42067124的博客
02-09 1569
VMware ESXi OpenSLP 堆溢出漏洞CVE-202121974)的流量特征和修复方法
VMware_ESXI_OpenSLP_PoCs:CVE-2020-3992和CVE-2019-5544
05-23
VMware_ESXI_OpenSLP_PoC CVE-2020-3992和CVE-2019-5544 在VMware Workstation上安装的ESXI上进行了测试。 如果是在真正的机器上,则可能需要更改srvtype字段(服务:VMwareInfrastructure)。
ESXi-8.0U2-22380479补丁和补丁的操作方法
最新发布
06-20
首先,补丁"ESXi-8.0U2-22380479"是VMware发布的一个更新,用于修复ESXi 8.0 Update 2中的安全漏洞和性能问题。这些补丁通常包含代码改进,以提高系统的稳定性和安全性。在部署之前,了解补丁的内容和目的至关重要,...
ESXi-Customizer-v2.7.2-WIN10.zip
02-26
《VMware ESXi驱动注入工具详解——以ESXi-Customizer-v2.7.2-WIN10.zip为例》 VMware ESXi是一款强大的企业级虚拟化平台,它提供了高效、可靠的服务器虚拟化解决方案。然而,为了充分利用硬件资源,有时需要对ESXi...
ESXi-6.0.0-20170604001-standard-customized.iso
08-12
集成驱动 (支持UI,可以web访问页面也可以使用客户端连接) ...sata-xahci-1.42-1.x86_64.vib 最新组件 esxcli-shell-1.1.0-15.x86_64.vib esxui-signed-12086396.vib fw-ntpd-1.2.0-1.x86_64.vib VMware-Remote-Console...
VMware-ESXi-7.0U3-18644231-depot.zip
10-14
"VMware-ESXi-7.0U3-18644231-depot.zip" 是一个针对ESXi 7.0 Update 3版本的自定义封装包,它包含了安装和配置ESXi所需的各种组件和定制设置。这个压缩包的目的是为了简化部署过程,同时可能包含特定的硬件驱动和...
勒索软件利用VMware漏洞CVE-2021-21974的处理方法
龙龙腾飞的博客
02-07 1136
新型勒索软件ESXiArgs的出现。根据Shodan 搜索,全球至少有 120 台 VMware ESXi 服务器已在此勒索软件活动中遭到破坏。2021年2月23日以后发布的版本受此影响。vCenter修复版本。
CVE-2021-21974 VMware漏洞处理
穿越千年的泪
02-07 4829
漏洞编号为,由 OpenSLP 服务中的堆溢出问题引起,未经身份验证的攻击者可以此进行低复杂度攻击。该漏洞主要影响6.x 版和 6.7、7.0版本之前的 ESXi 管理程序,2021年2月23日 ,VMware曾发布补丁修复了该漏洞。(在此之后发布的版本不影响)该漏洞启动之后,主要破坏行为为停止所有虚拟机,并加密所有数据文件。二、
Vmware vcenter未授权任意文件上传(CVE-2021-21972)复现
thelostworld
02-26 3523
Vmware vcenter未授权任意文件上传 (CVE-2021-21972 ) 一、漏洞简介 VMware是一家云基础架构和移动商务解决方案厂商,提供基于VMware的虚拟化解决方案。 高危严重漏洞: 在 CVE-2021-21972 VMware vCenter Server 远程代码漏洞 中,攻击者可直接通过443端口构造恶意请求,执行任意代码,控制vCenter。 漏洞为任意文件上传: 存在问题的接口为 /ui/vropspluginui/rest/servi...
CVE-2021-21974 漏洞修复
Cyan_Jiang的博客
03-23 615
VMware ESXi OpenSLP堆溢出漏洞,CNVD-ID编号为CNVD-2021-12321 ,CVE-ID为CVE-2021-21974。VMware ESXi 是VMware开放的服务器资源整合平台,可实现用较少的硬件集中管理多台服务器,并提升服务器性能和安全性。VMware ESXi OpenSLP堆溢出漏洞,与ESXi宿主机处于同一网段的攻击者利用该漏洞,向目标427端口发送恶意构造请求,从而触发OpenSLP服务堆溢出漏洞,导致远程代码执行。
预警!VMware ESXi服务器遭大规模勒索攻击,已有数千系统中招!科力锐提供勒索病毒拦截&应急恢复体系化解决方案
weixin_74412513的博客
03-01 722
安全大数据公司Censys对勒索信息进行了检索和披露,显示欧洲和北美已有数千台服务器遭到破坏。奥地利计算机安全应急响应小组在周一也发出警告,称“至少有3762个系统”受到了影响。据悉,意大利、法国、芬兰、美国、加拿大等国均遭到攻击,意大利电信公司出现大规模互联网中断,国内已受影响服务器也有数十台左右。多国网络安全组织机构已对此发出警告!
ESXi主机CVE-2021-21972漏洞复现安全处置建议
tigerman20201的博客
02-18 2062
一、漏洞简介 vSphere是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。 vSphere Client(HTML5) 在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,写入webshell,控制服务器
[简版] 关于vSphere漏洞-OpenSLP
rocky的博客
02-09 1163
一、前言 近期vSphere OpenSLP漏洞在野利用的新闻频频被爆出来,大伙儿非常关注。由于vSphere虚拟化客户之广泛,很多朋友都表达了自己的焦虑,同时也会担心自己管理的vSphere虚拟化平台是否存在隐患。 二、什么是OpenSLP OpenSLP全称Open Service Location Protocol。根据OpenSLP官网描述: SLP项目是由IETF(互联网工程工作组)制定的标准。它提供了一个框架,以允许网络应用发现企业网络环境中网络服务的存在、位置、配置信息。而OpenSLP,其
网络安全事件频发,让态势感知来提前洞察快速防护
dexun123的博客
04-17 1117
90年代,态势感知的概念开始被逐渐接受,并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)”,指在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,而最终的目的是要进行决策与行动。2023年6月,备受瞩目的网络安全公司梭子鱼发布了一份重要公告,披露了一个令人震惊的事实:该公司生产的ESG设备中,超过5%的设备已被攻击者成功入侵。态势感知是一种基于环境的、动态的、整体的洞察安全风险的能力。
CVE-2018-3646
07-29
回答: CVE-2018-3646是一种英特尔微处理器漏洞,可能会影响虚拟机监控程序。它允许恶意虚拟机在同一CPU内核的L1数据缓存中推断出其他虚拟机管理程序或特权信息的内容。这个漏洞会导致信息泄漏。为了减轻CVE-2018-3646的危害,需要解决两个攻击媒介,即"顺序上下文"和"并发上下文"。如果你的ESXI主机报错提到了CVE-2018-3646,你可以参考VMware的建议和处理方法,具体信息可以在https://kb.vmware.com/s/article/55636找到。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [CVE-2018-3646](https://blog.csdn.net/qq_50573146/article/details/127029226)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [ESXi 6.7 CVE-2018-3646警告的处理](https://blog.csdn.net/u010483330/article/details/125914047)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [vmware主机报‘L1 Terminal Fault漏洞的官方解决方案](https://blog.csdn.net/ximenjianxue/article/details/107520298)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值