勒索軟件濫用VMWare ESXi漏洞來加密虛擬硬盤

至少一個主要的勒索軟件團伙正在濫用VMWare ESXi產品中的漏洞，以接管部署在企業環境中的虛擬機並對其虛擬硬盤進行加密。

攻擊於去年10月首次見到，與部署RansomExx勒索軟件的犯罪集團的入侵有關。

根據與ZDNet交流的多名安全研究人員的說法，證據表明攻擊者使用了CVE-2019-5544和CVE-2020-3992這兩個VMware ESXi中的兩個漏洞，這是一個管理程序解決方案，允許多個虛擬機共享同一硬盤存儲。

這兩個錯誤都會影響服務定位協議（SLP），該協議被同一網絡上的設備用來發現彼此。 ESXi也隨附。

該漏洞使同一網絡上的攻擊者可以將惡意SLP請求發送到ESXi設備並對其進行控制，即使攻擊者沒有設法破壞ESXi實例通常報告給其的VMWare vCenter Server。

在去年發生的攻擊中，RansomExx可以訪問公司網絡上的設備並濫用此初始入口點來攻擊本地ESXi實例並加密其虛擬硬盤，該實例用於存儲來自多個虛擬機的數據由於ESXi虛擬磁盤通常用於集中來自多個其他系統的數據，因此對公司造成了巨大的破壞。