Агентство по кибербезопасности и защите инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) выпускают это совместное информационное сообщение по кибербезопасности (CSA) в ответ на продолжающуюся кампанию по распространению вымогательского ПО, известного как "ESXiArgs". Злоумышленники могут использовать известные уязвимости в серверах VMware ESXi, на которых, вероятно, установлены непропатченные и нерабочие или устаревшие версии программного обеспечения VMware ESXi для получения доступа и распространения программ-вымогателей. Программа ESXiArgs шифрует файлы конфигурации на серверах ESXi, потенциально делая виртуальные машины (ВМ) непригодными для использования.
По данным VMware, версии ESXi 7.0 до ESXi70U1c-17325551, 6.7 до ESXi670-202102401-SG и 6.5 до ESXi650-202102101-SG содержат уязвимость переполнения кучи в OpenSLP. TA, находящиеся в одной сети с машиной ESXi и имеющие доступ к порту 427, могут использовать эту уязвимость для удаленного выполнения кода.
CISA выпустила сценарий восстановления ESXiArgs на github.com/cisagov/ESXiArgs-Recover. Организации, ставшие жертвами вымогательского ПО ESXiArgs, могут использовать этот сценарий для попытки восстановления своих файлов. Этот CSA содержит руководство по использованию сценария.
Действующие лица ESXiArgs скомпрометировали более 3800 серверов по всему миру. CISA и ФБР рекомендуют всем организациям, управляющим серверами VMware ESXi:
- Обновить серверы до последней версии программного обеспечения VMware ESXi.
- Обеспечить защиту гипервизоров ESXi путем отключения службы Service Location Protocol (SLP).
- Убедитесь, что гипервизор ESXi не открыт для публичного доступа в Интернет.
Indicators of Compromise
SHA256
- 10c3b6b03a9bf105d264a8e7f30dcab0a6c59a414529b0af0a6bd9f1d2984459
- 11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66
