3 лютого 2023 року французька група реагування на комп'ютерні надзвичайні ситуації CERT-FR заявила, що близько 3000 серверів VMware ESXi були зламані новою програмою-вимагачем ESXiArgs у рамках масштабної хакерської атаки. Хакери використали RCE-вразливість 2021 року. Розповідаємо, хто перебуває під загрозою та як закрити вразливість.

Що таке ESXiArgs?

Це крипто-вимагач, який шифрує дані серверів на основі гіпервізора VMware ESXi, а потім підміняє повідомлення на вході, замінюючи його своїм з вимогою викупу в кілька біткоїнів.

Шкідливе ПЗ зашифрувало файли з розширеннями «.vmxf», «.vmx», «.vmdk», «.vmsd» і «.nvram» на скомпрометованих серверах ESXi та створило файл «.args» для кожного зашифрованого документа з метаданими (імовірно, необхідними для розшифрування). У заражених системах ESXiArgs залишив записку з вимогою викупу у розмірі $50 тис. в біткоїнах, під назвою «ransom.html» та «How to Restore Your Files.html» у форматі «.html» або «.txt». Фахівці з кібербезпеки заявляють, що розшифрувати файли неможливо.

Коли з’явилась вразливість?

Активність ESXiArgs зафіксували ще восени 2020 року. Тоді компанія VMware випустила патч для усунення однієї з вразливостей, але він був неповним і його можна було обійти. Згодом випустила другий патч, який повністю усунув вразливість, пов'язану з можливістю безкоштовного використання (use-after-free, UAF). Вона отримала код CVE-2020-3992. Врешті-решт VMware випустила третій патч, який повністю усуває переповнення динамічної пам'яті. Йому було присвоєно код CVE-2021-21974.

У лютому 2023 року, тобто через два роки після виявлення загрози, хакери використали вразливість, щоб атакувати незахищені сервери.

Хто в зоні ризику?

У першу чергу атака зачепила та ще може вразити компанії, які використовують застарілі версії ESXi — від 6.x і до 6.7, а також деякі версії vSphere 7.0, які не було оновлені до останнього виправлення. За оцінками Rapid7, це майже 18 581 сервер по всьому світу.

Я ― клієнт GigaCloud. Чи несе мені загрозу ESXiArgs?

Ні, для вашої інфраструктури у хмарі GigaCloud шифрувальник ESXiArgs не несе ніякої загрози. Наша команда підтримує актуальні версії ПЗ та своєчасно закриває усі вразливості.

VMware випустив патч який повністю закриває цю вразливість ще 23 лютого 2021 року. Тоді ж, понад два роки тому, ми одразу закрили її. Ви завжди використовуєте найактуальнішу версію без багів та вразливостей.

Нагадаємо, що GigaCloud має найвищий партнерський статус VMware Principal Partner, що гарантує нашим клієнтам отримання високоякісних послуг на базі рішень VMware.

Хто постраждав?

Точна кількість постраждалих серверів та компаній невідома, але їх тисячі. Згідно з даними Censys, лише за перші три дні активності ESXiArgs в лютому 2023 було зашифровано 3200 серверів. Третина з них знаходилася у Франції, також публічно заявлено про випадки зараження Верховного суду штату Флорида, шкіл та університетів в Угорщині та Словаччині, а також бізнесу в США, Італії, Німеччині та інших країнах. Є десятки випадків зараження серверів і в Україні, проте компанії не заявляють про це публічно.

Як захиститися?

Якщо ви не використовуєте наші хмари, ми рекомендуємо оновити компоненти vSphere до останніх доступних підтримуваних випусків ― 7.0 та вище. Також потрібно відключити службу OpenSLP в ESXi.

Також ми радимо на постійній основі:

• Використовувати підтримувані версії програмного забезпечення VMware.
• Слідкувати за оновленнями програмного забезпечення VMware.
• Використовувати керівництво з налаштування безпеки vSphere, щоб підвищити безпеку IT-інфраструктури.
• Контролювати доступ до інтерфейсів управління ІТ-інфраструктурою (не тільки vSphere).
• Використовувати багатофакторну автентифікацію і передові методи авторизації.
• Підписатися на розсилку VMware Security Advisory для завчасного повідомлення про проблеми.
• Перевірити всі вразливі системи на наявність ознак компрометації.

Це загальні поради, і застосувати їх для усіх користувачів рішень VMware ― не розумно. Оскільки безпека IT-інфраструктури залежить від того, де саме вона розміщена.

Раніше ми розповідали про найбільш поширені типи ІТ-загроз та як бізнесу захиститися від DDoS-атак.