ESXiArgs 是一种勒索软件攻击,面向全球 VMware ESXi 服务器。它利用漏洞获取对服务器的访问权限,然后加密服务器上托管的虚拟机。然后,攻击者要求支付赎金以解密数据。该攻击似乎是由一个资金充足且组织良好的团体进行的,并且非常有效,因为ESXi服务器通常用于关键基础架构并且可能难以保护。
该安全漏洞被跟踪为 CVE-2021-21974,是由 OpenSLP 服务中的堆溢出问题引起的,未经身份验证的威胁参与者可以利用该问题进行低复杂性攻击。要阻止传入攻击,管理员必须在尚未更新的 ESXi 虚拟机管理程序上禁用易受攻击的服务位置协议 (SLP) 服务。
CVE-2021-21974 影响以下系统:
ESXi70U1c-17325551之前的ESXi 7.x版本
ESXi670-202102401-SG之前的ESXi 6.7.x版本
ESXi650-202102101-SG之前的ESXi 6.5.x版本
如何查询ESXI版本履历:Build numbers and versions of VMware ESXi/ESX (2143832)
如何查询你的ESXI版本号:确定 VMware ESX/ESXi 和 VMware vCenter Server 的内部版本号 (1022196)
处理方案:
解决方案1:在VMware.com通下载最新补丁,对VMware ESXi进行升级。
解决方案2:无法进行升级的,可以通过禁用OpenSLP服务来规避,具体操作方法如下。
1.使用以下命令停止 ESXi 主机上的 SLP 服务:
/etc/init.d/slpd stop
注意:仅当 SLP 服务未在使用中的时候才能将其停止。使用以下命令可查看服务位置协议守护进程的运行状况:
esxcli system slp stats get
2.运行以下命令以禁用 SLP 服务:
esxcli network firewall ruleset set -r CIMSLP -e 0
要使此更改在重新引导后仍然有效,请执行以下操作:
chkconfig slpd off
检查重新引导后此更改是否仍然有效:
chkconfig --list | grep slpd
output: slpd off
文章评论