Dünya Genelinde VMware ESXi Sistemleri Saldırı Altında!

French Computer Emergency Response Team (CERT-FR) saldırganların fidye yazılımı dağıtmak için iki yıl önce keşfedilen ve uzaktan kod yürütme güvenlik açığını istismar ettiği konusunda uyarı yayınladı.

CVE-2021-21974 olarak  izlenen güvenlik OpenSLP servisinden kaynaklanıyor. Şu anda hedeflenen sistemler, 6.x sürümündeki ve 6.7’den önceki ESXi hypervisor. Güncelleme yapılmamış ESXi sistemler için SLP servisini devre dışı bırakmak gerekiyor.

CVE-2021-21974 aşağıdaki sistemleri etkiliyor:

​Fransız bulut sağlayıcısı OVHcloud da bugün VMware ESXi sunucularını hedef alan bu büyük saldırı dalgasını Nevada fidye yazılımı operasyonuyla ilişkilendiren bir rapor yayınladı. “Saldırı, görünüşe göre OpenSLP bağlantı noktası (427) aracılığıyla, öncelikle 7.0 U3i’den önceki ESXi sunucularını hedefliyor” dedi.

Shodan, dünya çapında en az 120 VMware ESXi sunucusu bu fidye yazılımı tarafından ele geçirildiği gösteriyor.

İlk müdahale ve yapılması gerekenler

Sunucudaki OpenSLP hizmetini devre dışı bırakmak veya yalnızca güvenilir IP adreslerine erişimi kısıtlamak için ( https://kb.vmware.com/s/article/76372 )

ESXi için yayınlanan son güncellemeleri yükleyin.

Yedeklerinizi kontrol edin.

SIEM veya bir log ürünü kullanıyorsanız anomal davranışları analiz edin.

Kaynak:

bleepingcomputer.com

blog.ovhcloud.com/ransomware-targeting-vmware-esxi/

Exit mobile version