勒索软件滥用VMWare ESXi漏洞来加密虚拟硬盘

Lasted 2021-02-02 20:05:10

至少一个主要的勒索软件团伙正在滥用VMWare ESXi产品中的漏洞,以接管部署在企业环境中的虚拟机并对其虚拟硬盘进行加密。

攻击于去年10月首次见到,与部署RansomExx勒索软件的犯罪集团的入侵有关。

根据与ZDNet交流的多名安全研究人员的说法,证据表明攻击者使用了CVE-2019-5544和CVE-2020-3992这两个VMware ESXi中的两个漏洞,这是一个管理程序解决方案,允许多个虚拟机共享同一硬盘存储。

这两个错误都会影响服务定位协议(SLP),该协议被同一网络上的设备用来发现彼此。 ESXi也随附。

该漏洞使同一网络上的攻击者可以将恶意SLP请求发送到ESXi设备并对其进行控制,即使攻击者没有设法破坏ESXi实例通常报告给其的VMWare vCenter Server。

在去年发生的攻击中,RansomExx可以访问公司网络上的设备并滥用此初始入口点来攻击本地ESXi实例并加密其虚拟硬盘,该实例用于存储来自多个虚拟机的数据由于ESXi虚拟磁盘通常用于集中来自多个其他系统的数据,因此对公司造成了巨大的破坏。