前情回顾·重大网络安全事件预警
安全内参2月7日消息,欧洲网络安全监管机构警告称,勒索软件攻击者正在“大规模主动利用”一个已存在近2年的VMWare ESXi漏洞。
这次攻击被命名为ESXiArgs,原因是勒索软件加密文件后,会创建一个扩展名为.args的附加文件。研究人员称,该文件中包含关于如何解密被锁文档的信息。
安全大数据公司Censys对勒索信息进行了检索和披露,显示欧洲和北美已有数千台服务器遭到破坏。奥地利计算机安全应急响应小组在周一也发出警告,称“至少有3762个系统”受到了影响。
据悉,意大利、法国、芬兰、美国、加拿大等国均遭到攻击。美联社报道称,勒索攻击发生时,意大利电信公司出现大规模互联网中断,意大利总理办公室已就勒索攻击发布了公告。
遭利用漏洞在两年前披露,PoC已大范围传播
根据VMWare官方介绍,ESXi这款产品属于“裸机管理程序……可直接访问并控制底层资源”。这种对关键文件的访问能力,恰恰是攻击者借以破坏大量用户资源的突破口。
遭利用的VMWare ESXi漏洞编号为CVE-2021-21974,已经在2021年2月正式发布补丁。政府机构和网络安全专家敦促各系统管理员,应立即对未经补丁修复的服务器进行更新。
该漏洞最初由俄罗斯安全公司Positive Technologies的Mikhail Klyuchnikov发现。这家公司曾因向黑客团伙销售“网络工具”而受到美国商务部的制裁。
目前没有任何迹象表明,Klyuchnikov的披露与商务部制裁或者当前勒索攻击活动有关。VMWare官方在漏洞确认中还对Klyuchnikov表达了感谢。
2021年5月以来,已经出现了针对CVE-2021-21974漏洞的有效概念验证(PoC),但目前还不清楚ESXiArgs攻击中采取的是不是同样的方法。
法意芬多国发布预警,要求立刻安装补丁
法国计算机应急响应小组(CERT-FR)在上周五发布公告,就此次勒索软件攻击发出警告。
意大利国家网络安全局也在上周六晚间表示,此漏洞正被用于“散播勒索软件”。
法国CERT负责人Mathieu Feuillet在推特上透露,该小组收到了“大量与此次事态相关的报告”,并强调要“紧急”处理。
法国云计算公司OVHCloud的首席信息安全官Julien Levrard警告称,该公司的技术团队在全球范围内持续检测勒索软件攻击。
Levrard表示,OVHCloud团队最初以为此次攻击与Nevada勒索软件有关,但随后发现是“错误关联”,目前暂时无法做出确切归因。
芬兰网络安全中心Kyberturvallisuuskeskus强调,“应立即安装”安全补丁,并警告称“考虑到影响范围巨大,尚未更新的服务器很可能被黑客入侵。”
参考资料:https://therecord.media/esxiargs-ransomware-vmware-servers/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
