VMware ออกมาแจ้งเตือนผู้ใช้งาน VMware ESXi server ให้เร่งอัปเดต ESXi servers และปิด OpenSLP service เพื่อป้องกันช่องโหว่โดยด่วน เนื่องจากพบว่าช่องโหว่ดังกล่าวได้ตกเป็นเป้าหมายในแคมเปญการโจมตีของกลุ่มแรนซัมแวร์ ที่มุ่งเป้าไปยัง VMware ESXi server ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต และมีช่องโหว่
โดย VMware ยังได้พบว่า VMware ESXi server ที่ตกเป็นเป้าหมายในการโจมตี จะเป็นเวอร์ชันที่ไม่ได้รับการซัปพอร์ตจาก VMware แล้ว (End of General Support (EOGS)) รวมทั้งยังได้แนะนำให้ทำการปิด OpenSLP service ที่อยู่ใน ESXi เนื่องจากพบว่าฟีเจอร์ดังกล่าวก็ตกเป็นเป้าหมายในการโจมตีด้วยเช่นเดียวกัน
ESXiArgs ransomware
การแจ้งเตือนของ VMware นี้เกิดขึ้นหลังจากที่พบการโจมตีจากกลุ่มแรนซัมแวร์ที่ยังไม่สามารถยืนยันตัวตนได้ (ในภายหลังถูกเรียกว่า ** ESXiArgs ransomware) ซึ่งได้ทำการเข้ารหัส VMware ESXi server ที่มีช่องโหว่ OpenSLP (CVE-2021-21974) โดยสามารถหลบเลี่ยงการพิสูจน์ตัวตน และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล บนเครื่องเป้าหมายได้
โดย Censys บริษัทด้านความปลอดภัยพบว่า ESXiArgs ransomware ได้ถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง ซึ่งส่งผลกระทบต่อ VMware ESXi server ที่มีช่องโหว่มากกว่า 2,400 รายการ โดยการใช้มัลแวร์เพื่อเข้ารหัสไฟล์ .vmxf, .vmx, .vmdk, .vmsd และ .nvra ซึ่ง VMware ESXi server ที่ถูกโจมตี จะถูกทิ้งบันทึกเรียกค่าเรียกไถ่ชื่อ "ransom.html" และ "How to Restore Your Files.html" ไว้บนเครื่อง
การป้องกัน
- เร่งดำเนินการอัปเดตเวอร์ชันของ VMware ESXi server ให้เป็นปัจจุบัน เพื่อป้องกันช่องโหว่
- ทำการปิด OpenSLP service ใน ESXi เพื่อป้องกันการโจมตีจากช่องโหว่
ที่มา : bleepingcomputer
You must be logged in to post a comment.