3 февраля 2023 года команда реагирования на инциденты компьютерной безопасности CERT-FR заявила, что порядка 3000 серверов VMware ESXi были зашифрованы программой-вымогателем ESXiArgs. Хакеры использовали RCE-уязвимость 2021 года. Рассказываем, кто находится под угрозой и как закрыть уязвимость.

Что такое ESXiArgs?

Это крипто-вымогатель, шифрующий информацию на серверах VMware ESXi. Он подменяет сообщение на входе и заменяет его своим. В нем требует заплатить выкуп в биткоинах.

Вредоносная программа зашифровала файлы с расширениями «.vmxf», «.vmx», «.vmdk», «.vmsd» и «.nvram» на скомпрометированных серверах ESXi и создала файл «.args» для каждого зашифрованного документа с метаданными. В зараженных системах шифровальщик оставил сообщение с требованием заплатить выкуп в размере $50 тыс. в BTC. Специалисты по кибербезопасности заявляют, что файлы не поддаются расшифровке.

Когда появилась уязвимость?

Активность ESXiArgs зафиксировали еще осенью 2020-го. Тогда VMware выпустил патч, чтобы устранить одну из уязвимостей, но он был неполным и его можно было обойти. Впоследствии выпустила второй патч, который полностью устранил уязвимость, связанную с возможностью бесплатного использования (use-after-free, UAF). Она получила код CVE-2020-3992. Последним вендор выпустил третий патч, который полностью устраняет переполнение динамической памяти. Ему был присвоен код CVE-2021-21974.

Спустя два года, в феврале 2023-го, хакеры использовали уязвимость, чтобы атаковать незащищенные серверы.

Кто рискует?

Атака задела и еще может поразить компании, использующие устаревшие версии ESXi ― от 6.x и до 6.7, а также некоторые версии vSphere 7.0, которые не были обновлены до последнего исправления. По оценкам Rapid7, это почти 18 581 сервер по всему миру.

Я ― клиент GigaCloud. Несет ли мне угрозу ESXiArgs?

Нет, для вашей инфраструктуры в облаке GigaCloud шифровальщик ESXiArgs не несет никакой угрозы. Наша команда поддерживает актуальные версии ПО и своевременно закрывает все уязвимости.

VMware выпустил патч, который полностью закрывает эту уязвимость, еще 23 февраля 2021 года. Тогда же, более двух лет назад, мы сразу закрыли ее. Вы всегда используете самую актуальную версию без багов и уязвимостей.

Напомним, что GigaCloud имеет самый высокий партнерский статус VMware Principal Partner, что гарантирует нашим клиентам получение высококачественных услуг на базе решений VMware.

Кто пострадал?

Точное количество пострадавших серверов и компаний неизвестно, но их тысячи. Согласно данным Censys, только за первые три дня активности ESXiArgs в феврале 2023 года было зашифровано 3200 серверов. Треть из них находилась во Франции, также публично заявлено о случаях заражения Верховного суда штата Флорида, школ и университетов в Венгрии и Словакии, а также бизнеса в США, Италии, Германии и других странах. Есть десятки случаев заражения серверов и в Украине, однако компании не заявляют об этом публично.

Как защититься?

Если вы не используете наши облака, мы рекомендуем обновить компоненты vSphere до последних доступных поддерживаемых выпусков ― 7.0 и выше. Также нужно отключить службу OpenSLP в ESXi.

Также мы советуем на постоянной основе:

• Использовать поддерживаемые версии ПО VMware и следить за его обновлениями.
• Использовать инструкцию по настройке безопасности vSphere, чтобы повысить безопасность IT-инфраструктуры.
• Контролировать доступ к интерфейсам управления IT-инфраструктурой (не только vSphere).
• Использовать многофакторную аутентификацию и передовые методы авторизации.
• Подписаться на рассылку VMware Security Advisory для заблаговременного уведомления о проблемах.
• Проверить все уязвимые системы на наличие признаков компрометации.

Это общие советы, и применять их для всех пользователей решений VMware ― неразумно. Поскольку безопасность IT-инфраструктуры зависит от того, где именно она размещена.

Ранее мы рассказывали о наиболее распространенных типах IT-угроз, и как бизнесу защититься от DDoS-атак.