French Computer Emergency Response Team (CERT-FR) saldırganların fidye yazılımı dağıtmak için iki yıl önce keşfedilen ve uzaktan kod yürütme güvenlik açığını istismar ettiği konusunda uyarı yayınladı.
CVE-2021-21974 olarak izlenen güvenlik OpenSLP servisinden kaynaklanıyor. Şu anda hedeflenen sistemler, 6.x sürümündeki ve 6.7’den önceki ESXi hypervisor. Güncelleme yapılmamış ESXi sistemler için SLP servisini devre dışı bırakmak gerekiyor.
CVE-2021-21974 aşağıdaki sistemleri etkiliyor:
- ESXi versions 7.x prior to ESXi70U1c-17325551
- ESXi versions 6.7.x prior to ESXi670-202102401-SG
- ESXi versions 6.5.x prior to ESXi650-202102101-SG
Fransız bulut sağlayıcısı OVHcloud da bugün VMware ESXi sunucularını hedef alan bu büyük saldırı dalgasını Nevada fidye yazılımı operasyonuyla ilişkilendiren bir rapor yayınladı. “Saldırı, görünüşe göre OpenSLP bağlantı noktası (427) aracılığıyla, öncelikle 7.0 U3i’den önceki ESXi sunucularını hedefliyor” dedi.
Shodan, dünya çapında en az 120 VMware ESXi sunucusu bu fidye yazılımı tarafından ele geçirildiği gösteriyor.
İlk müdahale ve yapılması gerekenler
Sunucudaki OpenSLP hizmetini devre dışı bırakmak veya yalnızca güvenilir IP adreslerine erişimi kısıtlamak için ( https://kb.vmware.com/s/article/76372 )
ESXi için yayınlanan son güncellemeleri yükleyin.
Yedeklerinizi kontrol edin.
SIEM veya bir log ürünü kullanıyorsanız anomal davranışları analiz edin.
Kaynak:
bleepingcomputer.com
blog.ovhcloud.com/ransomware-targeting-vmware-esxi/