您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
VMWare老漏洞遭大規(guī)模勒索利用,已有數(shù)千個系統(tǒng)受影響
法意芬多國發(fā)布預(yù)警,要求立刻安裝補(bǔ)丁!
2月7日消息,歐洲網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)警告稱,勒索軟件攻擊者正在“大規(guī)模主動利用”一個已存在近2年的VMWare ESXi漏洞。
這次攻擊被命名為ESXiArgs,原因是勒索軟件加密文件后,會創(chuàng)建一個擴(kuò)展名為.args的附加文件。研究人員稱,該文件中包含關(guān)于如何解密被鎖文檔的信息。
安全大數(shù)據(jù)公司Censys對勒索信息進(jìn)行了檢索和披露,顯示歐洲和北美已有數(shù)千臺服務(wù)器遭到破壞。奧地利計(jì)算機(jī)安全應(yīng)急響應(yīng)小組在周一也發(fā)出警告,稱“至少有3762個系統(tǒng)”受到了影響。
據(jù)悉,意大利、法國、芬蘭、美國、加拿大等國均遭到攻擊。美聯(lián)社報(bào)道稱,勒索攻擊發(fā)生時,意大利電信公司出現(xiàn)大規(guī)?;ヂ?lián)網(wǎng)中斷,意大利總理辦公室已就勒索攻擊發(fā)布了公告。
遭利用漏洞在兩年前披露,PoC已大范圍傳播
根據(jù)VMWare官方介紹,ESXi這款產(chǎn)品屬于“裸機(jī)管理程序……可直接訪問并控制底層資源”。這種對關(guān)鍵文件的訪問能力,恰恰是攻擊者借以破壞大量用戶資源的突破口。
遭利用的VMWare ESXi漏洞編號為CVE-2021-21974,已經(jīng)在2021年2月正式發(fā)布補(bǔ)丁。政府機(jī)構(gòu)和網(wǎng)絡(luò)安全專家敦促各系統(tǒng)管理員,應(yīng)立即對未經(jīng)補(bǔ)丁修復(fù)的服務(wù)器進(jìn)行更新。
該漏洞最初由俄羅斯安全公司Positive Technologies的Mikhail Klyuchnikov發(fā)現(xiàn)。這家公司曾因向黑客團(tuán)伙銷售“網(wǎng)絡(luò)工具”而受到美國商務(wù)部的制裁。
目前沒有任何跡象表明,Klyuchnikov的披露與商務(wù)部制裁或者當(dāng)前勒索攻擊活動有關(guān)。VMWare官方在漏洞確認(rèn)中還對Klyuchnikov表達(dá)了感謝。
2021年5月以來,已經(jīng)出現(xiàn)了針對CVE-2021-21974漏洞的有效概念驗(yàn)證(PoC),但目前還不清楚ESXiArgs攻擊中采取的是不是同樣的方法。
法意芬多國發(fā)布預(yù)警,要求立刻安裝補(bǔ)丁
法國計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT-FR)在上周五發(fā)布公告,就此次勒索軟件攻擊發(fā)出警告。
意大利國家網(wǎng)絡(luò)安全局也在上周六晚間表示,此漏洞正被用于“散播勒索軟件”。
法國CERT負(fù)責(zé)人Mathieu Feuillet在推特上透露,該小組收到了“大量與此次事態(tài)相關(guān)的報(bào)告”,并強(qiáng)調(diào)要“緊急”處理。
法國云計(jì)算公司OVHCloud的首席信息安全官Julien Levrard警告稱,該公司的技術(shù)團(tuán)隊(duì)在全球范圍內(nèi)持續(xù)檢測勒索軟件攻擊。
Levrard表示,OVHCloud團(tuán)隊(duì)最初以為此次攻擊與Nevada勒索軟件有關(guān),但隨后發(fā)現(xiàn)是“錯誤關(guān)聯(lián)”,目前暫時無法做出確切歸因。
芬蘭網(wǎng)絡(luò)安全中心Kyberturvallisuuskeskus強(qiáng)調(diào),“應(yīng)立即安裝”安全補(bǔ)丁,并警告稱“考慮到影響范圍巨大,尚未更新的服務(wù)器很可能被黑客入侵?!?/span>
參考資料:therecord.media
文章來源:安全內(nèi)參