- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
RCE-язвимость переполнения буфера в динамической памяти в службе OpenSLP CVE-2021-21974 (CVSS: 8,8) может быть использована хакером, не прошедшим проверку подлинности. Стоит отметить, что исправление ошибки было выпущено в феврале 2021 года.
Чтобы блокировать входящие атаки, администраторы должны отключить уязвимый протокол определения местоположения службы (SLP) на гипервизорах ESXi, которые еще не были обновлены. CERT-FR добавил, что не обновлённые системы также следует сканировать на наличие признаков компрометации.
CVE-2021-21974 влияет на следующие системы:
- ESXi версии 7.x до ESXi70U1c-17325551;
- ESXi версии 6.7.x до ESXi670-202102401-SG;
- ESXi версии 6.5.x до ESXi650-202102101-SG.
В заражённых системах ESXiArgs оставляет записку с требованием выкупа под названием «ransom.html» и «How to Restore Your Files.html» в формате «.html» или «.txt».
Майкл Гиллеспи из ID Ransomware проанализировал шифровальщик и заявил, что зашифрованные файлы расшифровать невозможно. Для шифрования ESXiArgs генерирует 32 байта с использованием защищенного генератора псевдослучайных чисел (CPRNG), а затем этот ключ используется для шифрования файла с использованием Sosemanuk, безопасного потокового шифра. Ключ файла шифруется с помощью RSA и добавляется к концу файла.
Использование алгоритма Sosemanuk указывает на то, что ESXiArgs, вероятно, основан на утечке исходного кода Babuk, который ранее использовался в других кампаниях против ESXi, такими как CheersCrypt.
Ранее исследователь кибербезопасности Уилл Томас из Центра анализа угроз Equinix (ETAC) обнаружил, что новая версия программы-вымогателя Royal Ransomware добавила поддержку шифрования устройств Linux для атак на виртуальные машины VMware ESXi.
Для пострадавших исследователь безопасности Энес Сонмез создал руководство, которое поможет администраторам бесплатно перенастроить свои виртуальные машины и восстановить данные. А специалисты издания BleepingComputer запустили специальную тему поддержки ESXiArgs, где люди сообщают о своем опыте с этой атакой и получают помощь в восстановлении машин.