一、ESXiArgs 勒索事件概述
从bleepingcomputer获悉,法国计算机紧急响应小组(CERT-FR)警告称,攻击者正积极针对VMware ESXi服务器中一个已有两年之久未打补丁的远程代码执行漏洞进行利用,部署新的ESXiArgs勒索软件。该历史漏洞的编号为CVE-2021-21974,它是VMware ESXi OpenSLP堆溢出漏洞,攻击者在与ESXi处于同一网段且能够访问427端口的情况下,构造恶意SLP请求触发OpenSLP服务中的堆溢出,从而导致远程代码执行。
在对于ESXi的攻击,攻击者和ESXi的网络要互通,才能实施攻击,如果ESXI主机暴露在公网上的没有打补丁,那么会有很大的遭受攻击的风险。然而,一般情况下,ESXI主机和外网是不能够直接连通的,攻击者要攻击到ESXI,就需要先突破外网防护从而攻击ESXi。
在最近的勒索时间中,是由于ESXi主机违规暴露在公网上,并且未及时修复相关漏洞,导致攻击者可直接利用ESXi的CVE-2021-21974漏洞控制ESXi,并上传勒索软件ESXiArgs到ESXi主机上,使得ESXiArgs对ESXi主机上后缀为:
.vmdk、.vmx、.vmxf、.vmsd、.vmsn、.vswp、.vmss、.nvram、.vmem的文件实施加密,最后向受害组织索取赎金。
梳理出ESXiArgs勒索攻击路径如下图所示: