دوشنبه ۶ فوریه ۲۰۲۲ (۱۷ شهریور ۱۴۰۱) گزارش شد که حملات سایبری گستردهای در حال آلودهکردن سرورهای سراسر جهان با استفاده از نوعی آسیبپذیری است که دو سال پیش وصلهی امنیتی دریافت کرده بود.
این هکهای گسترده از آسیبپذیریای در هایپروایزر ESXi استفاده میکنند. هایپروایزر ESXi شرکت VMware لایهای نرمافزاری است که مستقیماً روی سختافزار سرور نصب میشود و تمام منابع سیستم را دراختیار خواهد گرفت تا بتواند آنها را بین چندین سیستمعامل دیگر تقسیم و همزمان آنها را اجرا کرد. بهعبارتدیگر، هایپروایزر وظیفهی مجازیسازی مستقیم روی سختافزار را بهعهده دارد.
بهگزارش Arstechnica، بیانیههای هشدارآمیزی که اخیراً تیمهای واکنش اضطراری کامپیوتری (CERT) در فرانسه و ایتالیا و اتریش منتشر کردهاند، از کمپین عظیمی خبر میدهند که احتمالاً در جمعه آغاز شده و از آن زمان شتاب بیشتری گرفته است. مقامهای CERT در اتریش با استناد به نتایج جستوجو در سرشماری گفتند که تا روز یکشنبه، بیش از ۳٬۲۰۰ سرور آلوده را شناسایی کردند که از این تعداد ۸ سرور در کشور اتریش قرار دارد.
در متن بیانیهی مقامهای CERT آمده است باتوجهبه اینکه سرورهای دارای ESXi تعداد زیادی از سیستمها را به ماشین مجازی تبدیل میکنند، مجموع تعداد سیستمهای آسیبدیده چندین برابر خواهد بود.
آسیبپذیری که از آن برای آلودهکردن سرورهای ESXi استفاده شده، با شناسهی CVE-221-21974 ثبت شده است که از سرریز بافر Heap Based در سرویس OpenSLP ناشی میشود. دراینباره حتی در ۸ دسامبر ۲۰۲۲ (۱۷ آذر ۱۴۰۱) خبری از باگ امنیتی منتشر شد که دربارهی فعالبودن سرویس OpenSLP هشدار میداد.
در فوریهی ۲۰۲۱ (بهمن ۱۴۰۰)، وقتی VMware وصلهی امنیتی برای این آسیبپذیری را منتشر کرد، همچنان هشدار داد که ممکن است هکرها بتوانند بهواسطهی عاملی مخرب با دسترسی به همان بخش شبکه ازطریق پورت ۴۲۷ حملات خود را اجرا کنند. این آسیبپذیری سطح هشدار شدت ۸٬۸ از ۱۰ را دریافت کرد و در میان آسیبپذیریهای مهم قرار گرفت. چند ماه بعد نیز، کدهای Proof-of-Concept آن و دستورالعمل بهکارگیریاش دردسترس قرار گرفتند. بااینحال، همچنان تعداد قربانیان بسیار زیاد است.
دلیل تعداد زیاد قربانیان به عوامل خارج از دسترس برمیگردد. برای مثال، OVH، شرکت فرانسوی ارائهدهندهی سرویس هاست ابری، گفت امکان نصب وصلهی امنیتی روی سرورهایی را نداشته است که مشتریانش نصب کرده بودند.
جولیان لِورارد، مدیر ارشد امنیت اطلاعات شرکت OVH، گفت ازآنجاکه سیستمعامل ESXi را فقط میتوان روی سرورهای کامپیوتری فیزیکی نصب کرد، تاکنون چندین راهکار برای شناسایی سرورهای آسیبپذیر امتحان کردند تا از آن طریق و براساس گزارشهای اتوماسیون، بتوانند نصب ESXi بهدست مشتریانشان را شناسایی کنند؛ اما باتوجهبه نداشتن دسترسی به سرورهای مشتریان، ابتکار عمل محدودی داشتند.
در همین حال، این شرکت دسترسی به پورت ۴۲۷ را مسدود کرده است تا حین شناسایی سرورهای آسیبپذیر به مدیر آن سرورها اطلاع دهد.
گفته میشود باجافزاری که بعد از هک نصب میشود فایلهای ماشین مجازی با پسوندهای vmdk. و vmx. و vmxf و vmsd. و vmsn. و vswp. و vmss. و nvram. و vmem. را رمزنگاری میکنند. سپس، بدافزار تلاش میکند تا با اجرای عملیات VMX قفل فایلها را باز کند؛ اما آنطورکه توسعهدهندگان آن قصد داشتند، کار نکرده است و قفل فایلها باز نشد.
محققان این کمپین حملات سایبری و باجافزار آن را ESXiArgs نامیدند؛ زیرا بدافزار پس از رمزگذاری یک سند، فایلی اضافی با پسوند args. ایجاد میکند. ظاهراً فایل args. دادههای مدنظر را برای رمزگشایی دادههای رمزگذاریشده ذخیره میکند.
محققان تیم فناوری YoreGroup گزارش دادند که فرایند رمزگذاری ESXiArgs ممکن است اشتباههایی مرتکب شود که به قربانیان فرصت دهد تا دادههای رمزگذاریشده را باز کنند. همچنین، شرکت OVH تأیید کرد که فرایند بازسازی پیشنهادی محققان را آزمایش کرده و در دوسوم از موارد موفق به رمزگشایی شده است.
توصیه میشود که هرکسی از ESXi استفاده میکند، باید فعالیت خود را متوقف و بررسی کند که وصلههای امنیتی CVE-2021-21974 را نصب کرده است یا خیر و بکاپی از دادههای خود تهیه کند تا دچار مشکلات پرهزینه نشود.