勒索軟件濫用VMWare ESXi漏洞來加密虛擬硬盤

兩個VMWare ESXi漏洞CVE-2019-5544和CVE-2020-3992正在被濫用

最近更新時間 2021-02-02 20:05:10

encrypt

至少一個主要的勒索軟件團伙正在濫用VMWare ESXi產品中的漏洞,以接管部署在企業環境中的虛擬機並對其虛擬硬盤進行加密。

攻擊於去年10月首次見到,與部署RansomExx勒索軟件的犯罪集團的入侵有關。

根據與ZDNet交流的多名安全研究人員的說法,證據表明攻擊者使用了CVE-2019-5544和CVE-2020-3992這兩個VMware ESXi中的兩個漏洞,這是一個管理程序解決方案,允許多個虛擬機共享同一硬盤存儲。

這兩個錯誤都會影響服務定位協議(SLP),該協議被同一網絡上的設備用來發現彼此。 ESXi也隨附。

該漏洞使同一網絡上的攻擊者可以將惡意SLP請求發送到ESXi設備並對其進行控制,即使攻擊者沒有設法破壞ESXi實例通常報告給其的VMWare vCenter Server。

在去年發生的攻擊中,RansomExx可以訪問公司網絡上的設備並濫用此初始入口點來攻擊本地ESXi實例並加密其虛擬硬盤,該實例用於存儲來自多個虛擬機的數據由於ESXi虛擬磁盤通常用於集中來自多個其他系統的數據,因此對公司造成了巨大的破壞。

 

rss_feed