VMware已修复的堆溢出漏洞被勒索软件利用攻击ESXi服务器

安全圈发布于 2023-02-06 10:01:45

最近的网络安全观察中，VMware ESXi 管理程序是新一波黑客攻击的目标，旨在在受感染的系统上部署勒索软件。这些攻击活动利用了 VMware 的 CVE-2021-21974 漏洞，该漏洞在 VMware 官方的公告描述为 OpenSLP 堆溢出漏洞，可能导致任意代码的执行。已在 2021 年 2 月 23 日已经提供了安全补丁。

根据中国网络安全行业门户极牛网 (GeekNB.com) 的梳理，与 VMware ESXi 位于同一网段且有权访问端口 427 的攻击者可能会触发 OpenSLP 服务中的堆溢出问题，从而导致远程代码执行。

安全研究人员表示，正在全球范围内检测到这些攻击，人们怀疑这些攻击与 2022 年 12 月出现的一种名为 Nevada 的基于 Rust 的新型勒索软件有关。已知采用 Rust 的其他勒索软件包括 BlackCat、Hive、Luna、Nokoyawa、RansomExx 和 Agenda。

值得注意的是，Nevada 勒索软件背后的组织也在自己购买受损的访问权限，该组织有一个专门的团队进行后期开发，并对感兴趣的目标进行网络入侵。

然而，在攻击中看到的赎金票据与 Nevada 勒索软件没有任何相似之处，该病毒正在以 ESXiArgs 的名义进行跟踪。

建议用户升级到最新版本的 VMware ESXi 以降低潜在威胁，并将对 OpenSLP 服务的访问限制为受信任的 IP 地址。