Bezpečnostní odborníci varují před novým ransomwarem ESXiArgs, který po celém světě zneužívá dva roky starou chybu v serveru VMware ESXi. Chyba nese označení CVE-2021–21974 a je způsobena problémem s přetečením haldy ve službě OpenSLP, který může být velmi jednoduše zneužit neautentizovanými útočníky. Záplata je přitom dostupná od 23. února 2021.
Správci by měli na nezáplatovaných serverech alespoň vypnout podporu Service Location Protocol (SLP), což případný útok zastaví. Samozřejmě je ale doporučováno co nejdříve aktualizovat a zkontrolovat, zda už nebyl systém napaden. Problém se týká následujících verzí:
- ESXi verzí 7.x před ESXi70U1c-17325551
- ESXi verzí 6.7.x před ESXi670–202102401-SG
- ESXi verzí 6.5.x před ESXi650–202102101-SG
Chyba je zneužívána po celém světě, jak upozorňuje společnost OVH. Zaznamenány byly tisíce napadených instancí se zašifrovanými daty. Útočníci podle dostupných informací za dešifrování požadují výkupné ve výši dvou bitcoinů. Shodan zveřejnil statistiky verzí ESXi, které jsou vystavené do internetu:
An overview of the VMware ESXi versions exposed to the Internet: https://t.co/NqnH9QYfpK
— Shodan (@shodanhq) February 8, 2023
ČLÁNKY DO MAILU