Útok ESXiArgs Ransomware se zaměřuje na servery VMware po celém světě

Správci, poskytovatelé hostingu a French Computer Emergency Response Team (CERT-FR) varují, že útočníci se po celém světě pomocí nové metody aktivně zaměřují na servery VMware ESXi neopravené proti dva roky staré zranitelnosti. Využívají při tom zranitelnost s označením CVE-2021-21974, pro kterou existuje od 21. února 2021 záplata.

Přibližně 3 200 serverů VMware ESXi po celém světě bylo kompromitováno v rámci ransomwarové kampaně ESXiArgs, podle vyhledávání Censys. V současné době se za cílené systémy považují verze 6. x a verze hypervizoru ESXi před 6.7. a ve verzi před 7.0 U3i.

Aby se takovým útokům zabránilo, musí správci systému zakázat službu Service Location Protocol (SLP) na zranitelných produktech hypervizoru ESXi, které ještě nejsou aktualizovány. CERT-FR také uvádí, že systémy, které nebyly aktualizovány, vyžadují skenování, aby našly známky porušení.

Systémy ovlivněné chybou zabezpečení CVE-2021-21974:

• ESXi verze 7.x před ESXi70U1c-17325551
• ESXi verze 6.7.x před ESXi670-202102401-SG
• ESXi verze 6.5.x před ESXi650-202102101-SG

Doporučujeme neprodleně nainstalovat zmíněnou bezpečnostní záplatu.

https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/

https://socradar.io/esxiargs-ransomware-attack-targets-vmware-servers-worldwide

https://thehackernews.com/2023/02/new-wave-of-ransomware-attacks.html