موج گسترده حمله به سرورهای ESXi برای انتشار باجافزار
منابع امنیتی هشدار دادهاند که مهاجمان با سوءاستفاده از ضعف امنیتی CVE-2021-21974، بهطور گسترده در حال رخنه به سرورهای VMware ESXi و در ادامه آلودهسازی ماشینهای مجازی بر روی آنها به باجافزار هستند.
CVE-2021-21974 در 5 اسفند 1399 توسط شرکت ویامور (VMware) وصله شد. این آسیبپذیری، ضعفی از نوع Heap-overflow است که سرویس OpenSLP در ESXi از آن متأثر میشود و بهرهجویی موفق از آن در نهایت مهاجم را قادر به «اجرای کد دلخواه» (Execution of Arbitrary Code) میکند.
برخی منابع گزارش کردهاند که در جریان این حملات، مهاجمان از باجافزار Nevada برای رمزگذاری ماشینهای مجازی استفاده میکنند. Nevada است که به زبان Rust برنامهنویسی شده و نخستین نسخه آن حدود دو ماه پیش شناسایی شد. گردانندگان این باجافزار، در تالارهای گفتگو در دارکوب به زبانهای روسی و انگلیسی از مهاجمان دیگر و «دلالهای دسترسی اولیه» (Initial Access Broker – به اختصار IAB) دعوت به همکاری میکنند.
در عین حال، منابع امنیتی دیگری نیز باجافزار مورداستفاده مهاجمان این حملات به سرورهای ESXi را ESXiArgs معرفی کردهاند.
به راهبران توصیه میشود جهت در امان ماندن از این تهدیدات ضمن محدودسازی دسترسی به سرویس SLP به نشانیهای IP مجاز، اقدام به ارتقای ESXi کنند.
مرکز CISA ایالات متحده در تاریخ 18 بهمن 1401 اقدام به انتشار ابزاری برای بازگردانی فایلهای رمزگذاری شده توسط باجافزار ESXiArgs نموده که جزئیات آن در نشانی زیر قابل مطالعه است:
