紧急发布:VMware vSphere 勒索病毒的应对之策

一、事件追踪

近日,一篇名为《针对VMware vSphere的勒索病毒已经出现》的博文引起了大家的广泛关注。虚拟化系统一直被认为具有较高的安全性,但此次事件中,尽管该系统客户现有存储每天执行过快照,花费一整天的时间,也仅仅是大致恢复了业务。根据报道,中毒现象如下:

VMware vSphere集群仅有vCenter处于正常状态。同时企业中Windows桌面PC,笔记本大量出现被加密情况。

VMware vSphere部分:

浏览ESXI Datastore发现,虚拟机磁盘文件.vmdk,虚拟机描述文件.vmx被重命名,手动打开.vmx文件,发现.vmx文件被加密。

Vmx文件被加密。图片引用自

https://blog.csdn.net/z136370204/article/details/114924387

VMware vm-support日志收集包中,竟然也有勒索软件生成的说明。图片引用自https://blog.csdn.net/z136370204/article/details/114924387

Windows部分:

依据原博文报道,windows客户端内,用户文件被加密,加密程度不一。Windows日志被清空,无法溯源。防病毒软件未起到作用,运行安全诊断软件,未能发现异常。

二、病毒分析

未能依据公开报道,从公开平台上获取本次勒索事件中病毒样本。依据中毒现象,初步判断该病毒基本与此前针VMware vSphere的勒索病毒同源。事实上,2021年2月2日,美国网络安全媒体ZDNet发布报告称,一款名为RansomExx的勒索软件利用VMware ESXi的利用VMWare ESXi产品的漏洞CVE-2019-5544和CVE-2020-3992进行攻击,攻击活动于2020年10月被首次发现。2021年1月27日,“BabukLocker”勒索软件的开发者也声称可以加密VMware ESXi工作站。

CVE-2019-5544漏洞来源于ESXi和Horizon DaaS设备中使用的OpenSLP存在堆覆盖问题,能够通过网络访问ESXi宿主机上 427 端口或任何Horizon DaaS平台的恶意用户可能会通过覆盖OpenSLP服务的堆,最终导致远程代码执行。

CVE-2020-3992漏洞来源于ESXi中使用的OpenSLP存在“use-after-free”释放后重利用问题,当攻击者在管理网络(management network)中时,可以通过访问ESXi宿主机的427端口触发OpenSLP服务的user-after-free,从而导致远程代码执行。

除此之外,2021年2月24日,VMware 官方发布安全公告,披露了一个严重漏洞、一个高位漏洞、一个中危漏洞。据安全人士分析称,勒索病毒在更新中添加了对其的利用代码。这三个漏洞包括:

CVE-2021-21972为vSphere Client(HTML5)在vCenter Server默认安装插件vRealize Operations中包含一个远程执行代码漏洞。攻击者可直接通过443端口构造恶意请求,执行任意代码,控制vCenter。该漏洞容易利用,利用方式已在网络社区中广泛传播,需重点防护。

CVE-2021-21974为ESXi中使用的OpenSLP存在堆溢出漏洞,攻击者可通过427端口构造恶意请求,触发OpenSLP服务中的堆溢出漏洞,并可能导致远程代码执行。

中危漏洞CVE-2021-21973 VMware vCenter Server SSRF漏洞,攻击者可通过443端口发送恶意POST请求,发起内网扫描,造成SSRF漏洞。

三、解决方案

首先,建议更新至官方建议的版本。摘录官方公告,形成表格如下:

其次,建议加强对系统的备份,包括但不限于数据备份。根据相关报道,技术人员在安全事件发生时第一时间尝试禁用漏洞相关服务。但囿于VMware vSphere系统本身的限制,收效甚微。历来对勒索病毒的处理实践中,备份一直是最有力的武器。及时在现场处理安全事件,第一时间也应断网并抢救式备份数据。唯有足够充分的备份,才能完整实现对用户的安全承诺。

最后,还是要提醒我们的技术人员提高警惕。虚拟化环境与linux操作系统一直以来被认为具有较高的安全性。但近年来,针对布置在其中的企业系统,安全事件层出不穷。攻击与防御是动态发展的过程,只要具有足够大的价值,随着被洞悉,被研究,没有能够永久屹立的绝境长城,终会出现使其骤然倒塌的冬之号角。唯有安全人员如誓词那般:

长夜将至,我从今开始守望;今夜如此,夜夜皆然。

作者:电子六所工按安全所检测中心 王家和

(0)

相关推荐