از دیروز گزارش هایی مبنی بر آغاز حملات Ransomware ها به محصول ESXi توسط برخی دیتاسنترها بخصوص در قاره اروپا منتشر شده.
این باج افزار، فایل های دارای پسوندهای vmxf و vmx و vmdk و vmsd و nvram رو encrypt میکنه. برای این فایل های یک سری فایل .agrs میسازه. در ضمن یه سری فایل html و یا txt میسازه که توش نحوه پرداخت برای بازپس گیری فایل ها آورده شده.
این حملات نسخه های 6.5 و 6.7 و 7.0 از این محصول که در برابر حفره امنیتی CVE-2021-21974 که مربوط به پروتکل OpenSLP هست، پچ نشده ن رو مورد هدف قرار میده.
شرکت VMware دو سال پیش در یک SA یا همون Security Advisory شماره VMSA-2021-0002 این مشکل رو بیان کرده بود.
ما آخرین نسخه Patch مربوط به همه این نسخه ها رو دریافت و در اختیار همکاران قرار میدیم.
سابقاً نحوه اعمال Patch به ESXi رو در پست های قدیمی مون توضیح داده بودیم، اما برای اینکه در وقت همکاران صرفه جویی بشه، من از پست های قبلی کپی میکنیم و توی همین پست میذارم.
نحوه اعمال Patch ها:
1- ابتدا SSH رو روی ESXi خودتون فعال کنید.
2- فایل patch رو با استفاده از یک نرم افزار که SFTP یا SCP رو پشتیبانی کنه با استفاده از نام کاربری و رمز عبور یه اکانت که دسترسی کافی داره (مثل root) داخل ESXi خودتون آپلود کنید. به عنوان یه راهنمایی نرم افزار های FileZilla و WinSCP هر دوی این پروتکل ها رو پشتیبانی می کنن.
در ادامه بحث من فرض می کنم که فایل رو در datastore1 گذاشتید.
3- به ESXi خودتون با SSH وصل بشید و از فرمان زیر برای اعمال patch استفاده کنید:
esxcli software vib update -d /vmfs/volumes/datastore1/ESXi670-201903001.zip
که در اون ESXi670-201903001.zip اسم فایل patchمون هست.
4- چند دقیقه صبر می کنید تا کار اعمال patch انجام بشه. اگه فرایند موفقیت آمیز بوده باشه به شما پیغامی مبنی بر این موضوع داده میشه. توجه کنید که بعضی patch ها به reboot احتیاج دارن و بعضیا ندارن. این موضوع در پیغامی که بهتون داده میشه به اطلاعتون میرسه.
نهایتاً بعد از reboot (اگه احتیاج باشه) خواهید دید که build number مربوط به ESXiتون به build number مربوط به patch افزایش پیدا می کنه.
توصیه ما اعمال Patch هست، اما اگه به هر دلیلی امکان اعمال فوری Patch ها رو ندارید، موقتاً توسط Firewall دسترسی به پورت سرویس OpenSLP که 427 روی TCP و UDP هست رو محدود کنید.
ضمناً اگه از OpenSLP استفاده نمی کنید می تونید سرویس slpd رو کاملاً غیرفعال کنید.
شرکت VMware توی این صفحه از وبسایت رسمی ش یه KB در این مورد داره.
CERT کشور فرانسه پیشنهاد میکنه که حتی بعد از اعمال Patch، حتماً سرورتون رو چک کنید تا مطمئن بشید که باج افزار بهش وارد نشده باشه. محتویات دایرکتوری /tmp رو چک کنید!!!
CERT کشور سنگاپور این آی پی ها رو به عنوان Attacker های شناسایی شده تا به الآن معرفی کرده، که می تونید موقتاً توی Firewall هاتون Block شون کنید.
104.152.52.55
193.163.125.138
43.130.10.173
104.152.52.0/24
پی نوشت:
هر چند که BleepingComputer به نقل قول از Michael Gillespie میگه که Ransomware فایل ها رو بدون ایرادی که اجازه decrypt به ما بده encrypt کرده، اما یکی از خوانندگان ما که توی کشور ترکیه Admin هست، لینک زیر رو برامون ارسال کرده که توش، یه تعداد از ادمین های کشور ترکیه تونستن با روش ارائه شده، VM هاشون رو برگردونن. من لینک رو براتون میذارم، امیدوارم که به دردتون بخوره:
Recovering VMware Vulnerable Virtual Server
امیدوارم که این پست برای همه همکاران و همراهان مفید واقع بشه. خواهش میکنم تجربیات تون در مورد این موضوع رو بخش نظرات با بقیه همکاران به اشتراک بذارید.
(بیشتر…)
