ESXiArgs 勒索軟體以公開暴露的 ESXi OpenSLP 伺服器為目标

本期針對最近大家比較關注的這個openslp 安全漏洞問題進 科普。

ESXiArgs 的勒索軟體活動針對的是過時的 VMware ESXi 安裝。根據BleepingComputer 的資料，雖然第一份報告于 2 月 3 日星期五浮出水面，但周末有一個更重要的浪潮感染了至少 2,000 台主機。截至本文撰寫之時，一項網際網路範圍的掃描報告了多達 8,000 台受感染的主機。

該攻擊很可能利用了 CVE-2021-21974，這是捆綁的 OpenSLP 服務中存在兩年的遠端代碼執行漏洞，自 2021 年 2 月以來已提供更新檔。

VMware ESXi 是一種直接在主機伺服器硬體上運作的 Type 1 管理程式，它提供了一個虛拟化層，能夠将 CPU、存儲、記憶體和網絡資源抽象到多個虛拟機中。OpenSLP 是一個開源架構，用于網絡應用程式發現企業網絡中服務的存在、位置和配置，ESXi 用戶端應用程式使用這些服務來解析網絡位址和主機。

受影響的系統

以下 ESXi 版本受 CVE-2021–21974 影響：

ESXi70U1c-17325551 之前的 ESXi 7.x

ESXi670-202102401-SG 之前的 ESXi 6.7.x

ESXi650-202102101-SG 之前的 ESXi 6.5.x

對于容易受到 CVE-2021-21974 攻擊的系統，需要運作 OpenSLP 服務，并且需要可以從 Internet 通路其關聯的端口 427。根據 VMware 的說法，從 ESXi 7.0 U2c 和 ESXi 8.0 GA 開始，新安裝預設禁用此服務。

需要注意的是，CVE-2021-21974 尚未被官方确認為攻擊媒介。法國CERT将CVE-2020-3992列為另一種可能性，這也是OpenSLP的一個漏洞。雖然确切的漏洞尚不清楚，但 OVHcloud 是一家在其産品組合中包含 ESXi 伺服器的大型托管商，它确認 OpenSLP 服務是此次活動中使用的入口點。VMware 還建議禁用 OpenSLP 作為緩解措施。

此外，OVHcloud 阻止了所有安裝了 ESXi 的伺服器的端口 427。除了配置設定給 OpenSLP 服務外，此端口還可能被受感染安裝中的後門腳本使用。

緩解和恢複

VMware 建議盡可能将易受攻擊的 ESXi 伺服器更新為不受影響的版本。作為附加措施，可以禁用 OpenSLP 服務。本文檔中描述了此過程。

OVH 和安全社群的最新見解表明，關閉端口 427 或限制對其的通路也可能作為權宜之計緩解此漏洞。

受感染的系統将在 /tmp 檔案夾中存在以下檔案，這些檔案可以作為妥協的名額：

加密

加密.sh

公共.pem

加密過程後，系統的 motd（每日消息）檔案和 index.html 将被替換為勒索字條。勒索軟體将嘗試停止運作的虛拟機，以便能夠加密其相關檔案。

加密算法沒有允許在沒有密鑰的情況下解密檔案的已知弱點。但根據 OVHcloud 的說法，停止虛拟機通常會失敗，這會使檔案處于鎖定狀态并阻止任何加密。即使加密成功，也隻有一小部分檔案被加密，這在理論上使恢複成為可能。然而，這個過程相當困難，安全分析師仍在研究最佳程式。這篇博文中描述了目前的過程。

此外，CISA 和 FBI 還釋出了ESXiArgs 勒索軟體恢複指南，包括針對此類勒索軟體攻擊的特定恢複腳本。我們鼓勵所有受影響的組織遵循此恢複指南。

概括

VMware 發現了一個針對全球面向公衆的 ESXi 伺服器的新勒索軟體活動。攻擊者可能利用了 ESXi 的 OpenSLP 服務中存在兩年的堆溢出漏洞。此漏洞的更新檔已經可用，但攻擊表明許多伺服器可能仍然容易受到攻擊。使用者應更新到最新的 ESXi 版本，并将對 OpenSLP 服務的通路限制為受信任的 IP 位址，以在更新檔不易獲得的情況下減輕潛在威脅。

什麼是openslp?

OpenSLP 項目緻力于開發适用于商業和非商業應用的 IETF 服務定位協定的開源實作。

雖然已經發明了其他服務廣告和定位方法，甚至被廣泛使用，但迄今為止還沒有其他系統提供像 SLP 這樣完整且對關鍵任務企業應用程式同樣重要的功能集。

OpenSLP 是根據Caldera Systems 開放源代碼許可獲得許可的——該許可與流行的BSD 開放源代碼許可在法律上相容。

OpenSLP 由 SourceForge.net 托管。您可以在 SourceForge OpenSLP 項目頁面上找到源代碼和二進制檔案、郵件清單和存檔、錯誤跟蹤器和論壇，以及其他與項目相關的資訊。通過本網站上的頁面可以友善地通路由 OpenSLP 項目站點管理的大部分資訊。

vmware使用openslp做什麼？

ESXi 用戶端應用程式使用這些服務來解析網絡位址和主機。使用 SLP 通過端口 #427 查找 CIM 伺服器的 CIM 用戶端。

其實就是vSphere 用戶端使用此 CIM SLP 服務來發現主機上的硬體清單……是以，除非您使用任何插件來監視硬體，否則我将驗證您是否仍然在中看到所有正确的資料硬體頁籤（包括驗證傳感器是否仍然工作）。VMware 強化指南中沒有特别提及此端口或 UDP 服務

關掉openslp服務對生産環境有影響嗎？

.以下來自vmware 官方回複：

按照https://kb.vmware.com/s/article/76372中所述執行解決方法時，我們将無法通路 vCenter 級别的硬體運作狀況監控。但是，您提到的任何其他 vSphere 産品都不會受到執行此解決方法的影響。

在第二個問題中，我問 Proactive HA 是否會受到影響。

他們說不。似乎 ESXi 或任何應用程式都沒有使用端口 427，硬體運作狀況除外。是以，如果您依賴硬體健康狀況，則可能會遇到問題。

我正在等待回複，看看這是否會影響硬體警報，如“主機記憶體”、主機處理器、主機硬體電壓等……。

來自 VMware 支援的更新：

. 在這種情況下，是的，通過禁用 SLP 和端口 427，我們将限制（如果不删除）從 vCenter 級别接收硬體健康警報的能力。

如果您有 iDRAC、ILO、UCS 等帶外管了解決方案，那麼您應該仍然可以通路硬體健康監控。