VMWare 的 ESXi 服務(wù)器中存在一個未修補(bǔ)的軟件漏洞，正被黑客利用，目的是在全球范圍內(nèi)傳播勒索軟件。 

未打補(bǔ)丁的 VMWare 服務(wù)器被黑客濫用

VMWare 的 ESXi 服務(wù)器中存在兩年的軟件漏洞已成為廣泛的黑客攻擊活動的目標(biāo)。攻擊的目的是部署 ESXiArgs，這是一種新的勒索軟件變體。估計有數(shù)百個組織受到影響。

法國計算機(jī)應(yīng)急響應(yīng)小組 (CERT) 于 2 月 3 日發(fā)布了一份聲明，其中討論了攻擊的性質(zhì)。在CERT 帖子中寫道，這些活動“似乎利用了 ESXi 管理程序的漏洞，這些管理程序沒有足夠快地更新安全補(bǔ)丁。” CERT 還指出，被攻擊的漏洞“允許攻擊者進(jìn)行遠(yuǎn)程任意代碼攻擊”。

已敦促各組織修補(bǔ)管理程序漏洞，以避免成為這種勒索軟件操作的受害者。不過，CERT在上述聲明中提醒讀者，“更新產(chǎn)品或軟件是一項必須謹(jǐn)慎執(zhí)行的精細(xì)操作”，并且“建議盡可能多地執(zhí)行測試”。

VMWare 也談到了這種情況

與 CERT 和其他各種實體一起，VMWare 也發(fā)布了一篇關(guān)于這次全球攻擊的帖子。在VMWare 公告中寫道，服務(wù)器漏洞（稱為 CVE-2021-21974）可能使惡意行為者能夠“觸發(fā) OpenSLP 服務(wù)中的堆溢出問題，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行”。

VMWare 還指出，它已于 2021 年 2 月發(fā)布了針對此漏洞的補(bǔ)丁，可用于切斷惡意運營商的攻擊向量，從而避免成為攻擊目標(biāo)。

這次襲擊似乎不是國家實體實施的

雖然此次攻擊活動的攻擊者身份尚不得而知，但意大利國家網(wǎng)絡(luò)安全局 (ACN) 表示，目前沒有證據(jù)表明此次攻擊是由任何國家實體實施的（據(jù)路透社報道）。許多意大利組織以及法國、美國、德國和加拿大的組織都受到了此次攻擊的影響。

安全研究人員表示，正在全球范圍內(nèi)檢測到這些攻擊，人們懷疑這些攻擊與 2022 年 12 月出現(xiàn)的一種名為 Nevada 的基于 Rust 的新型勒索軟件有關(guān)。已知采用 Rust 的其他勒索軟件包括 BlackCat、Hive、Luna、Nokoyawa、RansomExx 和 Agenda。

值得注意的是，Nevada 勒索軟件背后的組織也在自己購買受損的訪問權(quán)限，該組織有一個專門的團(tuán)隊進(jìn)行后期開發(fā)，并對感興趣的目標(biāo)進(jìn)行網(wǎng)絡(luò)入侵。

勒索軟件攻擊繼續(xù)構(gòu)成重大風(fēng)險

隨著時間的流逝，越來越多的組織成為勒索軟件攻擊的受害者。這種網(wǎng)絡(luò)犯罪模式在惡意行為者中變得異常流行，這次全球 VMWare 黑客攻擊顯示了其后果的廣泛性。