Майже 19 000 серверів ESXi все ще вразливі до CVE-2021-21974
Кілька організацій попередили, що кампанія-вимагач під назвою «ESXiArgs» була націлена на сервери VMware ESXi, нібито використовуючи CVE-2021-21974 — уразливість переповнення купи майже дворічної давності.
Два роки. І все ж дослідження Rapid7 виявило, що значна кількість серверів ESXi, імовірно, залишаються вразливими. Вони з високою впевненістю вважають, що на момент написання цієї статті існує принаймні 18 581 вразливих серверів ESXi, які виходять в Інтернет.
Вони також помітили додаткові інциденти, націлені на сервери ESXi, не пов’язані з кампанією ESXiArgs, які, можливо, також використовують CVE-2021-21974. RansomExx2 — відносно новий штам програм-вимагачів, написаний на Rust і націлений на Linux, був помічений для використання вразливих серверів ESXi. Відповідно до нещодавнього звіту IBM Security X-Force, програмне забезпечення-вимагач, написане на Rust, має нижчий рівень антивірусного виявлення порівняно з програмами, написаними більш поширеними мовами.
Виправлення проблеми від CISA
Агентство з кібербезпеки та безпеки інфраструктури США (CISA) випустило дешифратор програм-вимагачів, щоб допомогти жертвам відновитися після атак ESXiArgs. Однак важливо зазначити, що сценарій не є виправленням усіх проблем і потребує додаткових інструментів для повного відновлення. Крім того, звіти свідчать про те, що загроза, що стоїть за кампанією, змінила свою атаку, щоб пом’якшити дешифратор.
Сценарій працює, дозволяючи користувачам скасовувати реєстрацію віртуальних машин, які були зашифровані програмою-вимагачем, і повторно реєструвати їх за допомогою нового файлу конфігурації. Однак для повного відновлення все одно потрібна резервна копія зашифрованих частин віртуальної машини.
Основна перевага сценарію дешифратора полягає в тому, що він дозволяє користувачам повертати віртуальні машини в робочий стан, тоді як відновлення даних із резервної копії відбувається у фоновому режимі. Це особливо корисно для користувачів традиційних засобів резервного копіювання без можливостей аварійного відновлення на основі віртуалізації.
Рекомендації Rapid7
Заборонити доступ до серверів. Якщо послуга абсолютно не повинна бути в Інтернеті, не виставляйте її в Інтернет. Деякі жертви цих атак мали ці сервери під відкритим доступом до Інтернету, але могли отримати від них таку ж цінність для бізнесу, обмеживши доступ до IP-адрес із білого списку. Якщо ви використовуєте сервер ESXi або будь-який інший сервер, за замовчуванням заборонено доступ до цього сервера, окрім довіреного простору IP.
Виправлення вразливих серверів ESXi. VMware випустила патч для CVE-2021-21974 майже два роки тому. Якщо у вашому середовищі є сервери ESXi без виправлень, натисніть це посилання та виправте їх зараз.
Розробіть і дотримуйтеся стратегії латання. Виправлення, безсумнівно, має проблеми. Проте ця подія чудово ілюструє, чому важливо мати стратегію виправлення та дотримуватися її.
Резервне копіювання віртуальних машин. Переконайтеся, що у вас є рішення для резервного копіювання, навіть для віртуальних машин. Як зазначалося вище, сценарій дешифрувальника, виданий ЦРУ, є лише частковим виправленням. Єдиний спосіб повністю відновитися після атак, пов’язаних із CVE-2021-21974, — це резервне копіювання операцій. Сьогодні існує велика різноманітність рішень резервного копіювання для захисту віртуальних машин.