您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
VMWare老漏洞遭大規(guī)模勒索利用,已有數(shù)千個系統(tǒng)受影響
法意芬多國發(fā)布預警,要求立刻安裝補丁!
2月7日消息,歐洲網(wǎng)絡安全監(jiān)管機構(gòu)警告稱,勒索軟件攻擊者正在“大規(guī)模主動利用”一個已存在近2年的VMWare ESXi漏洞。
這次攻擊被命名為ESXiArgs,原因是勒索軟件加密文件后,會創(chuàng)建一個擴展名為.args的附加文件。研究人員稱,該文件中包含關(guān)于如何解密被鎖文檔的信息。
安全大數(shù)據(jù)公司Censys對勒索信息進行了檢索和披露,顯示歐洲和北美已有數(shù)千臺服務器遭到破壞。奧地利計算機安全應急響應小組在周一也發(fā)出警告,稱“至少有3762個系統(tǒng)”受到了影響。
據(jù)悉,意大利、法國、芬蘭、美國、加拿大等國均遭到攻擊。美聯(lián)社報道稱,勒索攻擊發(fā)生時,意大利電信公司出現(xiàn)大規(guī)?;ヂ?lián)網(wǎng)中斷,意大利總理辦公室已就勒索攻擊發(fā)布了公告。
遭利用漏洞在兩年前披露,PoC已大范圍傳播
根據(jù)VMWare官方介紹,ESXi這款產(chǎn)品屬于“裸機管理程序……可直接訪問并控制底層資源”。這種對關(guān)鍵文件的訪問能力,恰恰是攻擊者借以破壞大量用戶資源的突破口。
遭利用的VMWare ESXi漏洞編號為CVE-2021-21974,已經(jīng)在2021年2月正式發(fā)布補丁。政府機構(gòu)和網(wǎng)絡安全專家敦促各系統(tǒng)管理員,應立即對未經(jīng)補丁修復的服務器進行更新。
該漏洞最初由俄羅斯安全公司Positive Technologies的Mikhail Klyuchnikov發(fā)現(xiàn)。這家公司曾因向黑客團伙銷售“網(wǎng)絡工具”而受到美國商務部的制裁。
目前沒有任何跡象表明,Klyuchnikov的披露與商務部制裁或者當前勒索攻擊活動有關(guān)。VMWare官方在漏洞確認中還對Klyuchnikov表達了感謝。
2021年5月以來,已經(jīng)出現(xiàn)了針對CVE-2021-21974漏洞的有效概念驗證(PoC),但目前還不清楚ESXiArgs攻擊中采取的是不是同樣的方法。
法意芬多國發(fā)布預警,要求立刻安裝補丁
法國計算機應急響應小組(CERT-FR)在上周五發(fā)布公告,就此次勒索軟件攻擊發(fā)出警告。
意大利國家網(wǎng)絡安全局也在上周六晚間表示,此漏洞正被用于“散播勒索軟件”。
法國CERT負責人Mathieu Feuillet在推特上透露,該小組收到了“大量與此次事態(tài)相關(guān)的報告”,并強調(diào)要“緊急”處理。
法國云計算公司OVHCloud的首席信息安全官Julien Levrard警告稱,該公司的技術(shù)團隊在全球范圍內(nèi)持續(xù)檢測勒索軟件攻擊。
Levrard表示,OVHCloud團隊最初以為此次攻擊與Nevada勒索軟件有關(guān),但隨后發(fā)現(xiàn)是“錯誤關(guān)聯(lián)”,目前暫時無法做出確切歸因。
芬蘭網(wǎng)絡安全中心Kyberturvallisuuskeskus強調(diào),“應立即安裝”安全補丁,并警告稱“考慮到影響范圍巨大,尚未更新的服務器很可能被黑客入侵?!?/span>
參考資料:therecord.media
文章來源:安全內(nèi)參