VMwareESXi服务器索要软件演化

后联调局 网络安全基础设施安全局 周三发布恢复脚本大规模骨灰攻击VMWAREESXI服务器报表显示恶意软件演化方式使得早期恢复程序失效

攻击目标VMwareESXi裸金属超感应器首次发布2月3日由法国计算机应急队(CERT-FR),约3 800台服务器在全球受到影响,CISA和FB说

上头赎金软件加密易损虚拟机配置文件,使其有可能无法使用向受影响公司发出的一张赎金注约23 000比特币

CISA联想联想发布恢复脚本.组表示脚本不删除受影响的配置文件,而是尝试创建新文件无法避免索要赎金, 也无法修复让ESXIARGs攻击 起首作用的根漏洞, 但它可能是受影响公司关键的第一步

CISA指出,运行脚本后,组织应即时更新服务器最新版本,禁用ESXiARgs攻击者用来折中服务定位协议服务虚拟机并切断ESXi高压器从公共互联网上关闭

CISA发布指南后,报告浮出水面说新版索要软件正在感染服务器并使得前恢复方法无效新版调值器沉睡计算机.

一个重要的变化是,赎金软件现在加密更大百分比的配置文件,即它一般目标化文件,使得CISA脚本难甚至不可能创建干净替代程序

新波ESXiAgs攻击甚至对没有启动SLP的系统有效,

Gartner高级主管分析员Jon Amato表示:「我无法亲身验证实情,似然似然,但似然与确认间有很多光

尝试恢复脚本对受影响组织来说仍然是个好主意,

阿马托说道,“值得一试-只花管理者几分钟时间一试一试”。

CISA:接受服务器安全程序

不论ISA脚本在特定组织中是否可用,FBS和ISA建议受影响的组织反之照后三步-如果可能的话,将机器修补为最新标准(不受ESXIARGS攻击)、关闭SLP服务并从公共互联网上截取均是重要的缓冲步骤根脆弱度首次在CVE-2021-21974中报告,近一年来已有补丁可用

攻击主要针对法国、美国和德国服务器,加拿大和联合王国也有大批受害者网络安全公司Censys.为了防止进一步攻击,CISA和FA发布一份附加步骤清单,包括维护定期强离线备份,限制已知恶意向量像SMB网络协议的早期版本,并需要普遍高水平内部安全-phing抗2FA系统、用户账审核和数项其他技术

故事更新以包括有关SLPs的信息和分析员评论