موج گسترده حمله به سرورهای ESXi برای انتشار باج‌افزار

منابع امنیتی هشدار داده‌اند که مهاجمان با سوءاستفاده از ضعف امنیتی CVE-2021-21974، به‌طور گسترده در حال رخنه به سرورهای VMware ESXi و در ادامه آلوده‌سازی ماشین‌های مجازی بر روی آنها به باج‌افزار هستند.

CVE-2021-21974 در 5 اسفند 1399 توسط شرکت وی‌ام‌ور (VMware) وصله شد. این آسیب‌پذیری، ضعفی از نوع Heap-overflow است که سرویس OpenSLP در ESXi از آن متأثر می‌شود و بهره‌جویی موفق از آن در نهایت مهاجم را قادر به «اجرای کد دلخواه» (Execution of Arbitrary Code) می‌کند.

برخی منابع گزارش کرده‌اند که در جریان این حملات، مهاجمان از باج‌افزار Nevada برای رمزگذاری ماشین‌های مجازی استفاده می‌کنند. Nevada است که به زبان Rust برنامه‌نویسی شده و نخستین نسخه آن حدود دو ماه پیش شناسایی شد. گردانندگان این باج‌افزار، در تالارهای گفتگو در دارک‌وب به زبان‌های روسی و انگلیسی از مهاجمان دیگر و «دلال‌های دسترسی اولیه» (Initial Access Broker – به اختصار IAB) دعوت به همکاری می‌کنند.

در عین حال، منابع امنیتی دیگری نیز باج‌افزار مورداستفاده مهاجمان این حملات به سرورهای ESXi را ESXiArgs معرفی کرده‌اند.

به راهبران توصیه می‌شود جهت در امان ماندن از این تهدیدات ضمن محدودسازی دسترسی به سرویس SLP به نشانی‌های IP مجاز، اقدام به ارتقای ESXi کنند.

مرکز CISA ایالات متحده در تاریخ 18 بهمن 1401 اقدام به انتشار ابزاری برای بازگردانی فایل‌های رمزگذاری شده توسط باج‌افزار ESXiArgs نموده که جزئیات آن در نشانی زیر قابل مطالعه است:

https://www.cisa.gov/uscert/ncas/current-activity/2023/02/07/cisa-releases-esxiargs-ransomware-recovery-script

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *