Σε εξέλιξη επιθέσεις σε servers που τρέχουν unpatched εκδόσεις ESXi

[nnn]

Μια έκρηξη κυβερνοεπιθέσεων μολύνει διακομιστές σε όλο τον κόσμο με καταστροφικό ransomware, εκμεταλλευόμενη μια ευπάθεια που είχε επιδιορθωθεί πριν από δύο χρόνια, όπως αναφέρθηκε ευρέως τη Δευτέρα.

Οι παραβιάσεις εκμεταλλεύονται ένα ελάττωμα στο ESXi, έναν hypervisor που πωλεί η VMware σε cloud hosts και άλλες επιχειρήσεις μεγάλης κλίμακας για την ενοποίηση των πόρων υλικού τους. Το ESXi είναι αυτό που είναι γνωστό ως bare-metal, ή Hypervisor τύπου 1, που σημαίνει ότι είναι ουσιαστικά το δικό του λειτουργικό σύστημα που εκτελείται απευθείας στο υλικό του διακομιστή. Αντίθετα, οι διακομιστές που εκτελούν την πιο γνωστή κατηγορία hypervisors τύπου 2, όπως το VirtualBox της VMware, εκτελούνται ως εφαρμογές πάνω από ένα λειτουργικό σύστημα κεντρικού υπολογιστή. Οι hypervisors τύπου 2 εκτελούν στη συνέχεια εικονικές μηχανές που φιλοξενούν τα δικά τους guest λειτουργικά συστήματα, όπως τα Windows, το Linux ή, σπανιότερα, το macOS.

Συμβουλές που δημοσιεύθηκαν πρόσφατα από ομάδες αντιμετώπισης έκτακτων περιστατικών σε υπολογιστές (CERT) στη Γαλλία, την Ιταλία και την Αυστρία αναφέρουν μια "μαζική" εκστρατεία που ξεκίνησε το αργότερο την Παρασκευή και έχει αποκτήσει έκτοτε δυναμική. Επικαλούμενοι τα αποτελέσματα μιας αναζήτησης στην απογραφή, οι αξιωματούχοι της CERT στην Αυστρία, δήλωσαν ότι μέχρι την Κυριακή, υπήρχαν περισσότεροι από 3.200 μολυσμένοι διακομιστές, συμπεριλαμβανομένων οκτώ στη χώρα αυτή.

"Δεδομένου ότι οι διακομιστές ESXi παρέχουν μεγάλο αριθμό συστημάτων ως εικονικές μηχανές (VM), μπορεί να αναμένεται πολλαπλάσιος αριθμός αυτού του αριθμού προσβεβλημένων μεμονωμένων συστημάτων", έγραψαν οι αξιωματούχοι.

Η ευπάθεια που γίνεται αντικείμενο εκμετάλλευσης για τη μόλυνση των διακομιστών είναι το CVE-2021-21974, το οποίο προέρχεται από μια heap-based buffer overflow στο OpenSLP, ένα ανοιχτό πρότυπο εντοπισμού δικτύων που είναι ενσωματωμένο στο ESXi. Όταν η VMware επιδιόρθωσε την ευπάθεια τον Φεβρουάριο του 2021, η εταιρεία προειδοποίησε ότι θα μπορούσε να αξιοποιηθεί από έναν κακόβουλο παράγοντα με πρόσβαση στο ίδιο τμήμα δικτύου μέσω της θύρας 427. Η ευπάθεια είχε βαθμολογία σοβαρότητας 8,8 από τις 10 δυνατές. Proof-of-concept κώδικας εκμετάλλευσης και οδηγίες για τη χρήση του έγιναν διαθέσιμα λίγους μήνες αργότερα.

Κατά τη διάρκεια του Σαββατοκύριακου, ο γαλλικός cloud host OVH δήλωσε ότι δεν έχει τη δυνατότητα να επιδιορθώσει τους ευάλωτους διακομιστές που έχουν εγκαταστήσει οι πελάτες του.

"Το ESXi OS μπορεί να εγκατασταθεί μόνο σε bare metal διακομιστές", έγραψε ο Julien Levrard, επικεφαλής ασφάλειας πληροφοριών της OVH. "Ξεκινήσαμε διάφορες πρωτοβουλίες για τον εντοπισμό ευάλωτων διακομιστών, με βάση τα αρχεία καταγραφής αυτοματισμού μας για την ανίχνευση της εγκατάστασης του ESXI από τους πελάτες μας. Έχουμε περιορισμένα μέσα δράσης, καθώς δεν έχουμε λογική πρόσβαση στους διακομιστές των πελατών μας".

Εν τω μεταξύ, η εταιρεία έχει μπλοκάρει την πρόσβαση στη θύρα 427 και ενημερώνει επίσης όλους τους πελάτες που εντοπίζει ότι τρέχουν ευάλωτους διακομιστές.

Ο Levrard δήλωσε ότι το ransomware που εγκαθίσταται στις επιθέσεις κρυπτογραφεί αρχεία εικονικών μηχανών, συμπεριλαμβανομένων εκείνων που έχουν κατάληξη .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram και .vmem. Στη συνέχεια, το κακόβουλο λογισμικό προσπαθεί να ξεκλειδώσει τα αρχεία τερματίζοντας μια διαδικασία γνωστή ως VMX. Η λειτουργία δεν λειτουργεί όπως σκόπευαν οι προγραμματιστές της, με αποτέλεσμα τα αρχεία να παραμένουν κλειδωμένα.

Οι ερευνητές ονόμασαν την εκστρατεία και το ransomware πίσω από αυτήν ESXiArgs επειδή το κακόβουλο λογισμικό δημιουργεί ένα πρόσθετο αρχείο με την επέκταση ".args" μετά την κρυπτογράφηση ενός εγγράφου. Το αρχείο .args αποθηκεύει δεδομένα που χρησιμοποιούνται για την αποκρυπτογράφηση των κρυπτογραφημένων δεδομένων.

Οι ερευνητές της ομάδας τεχνολογίας της YoreGroup, Enes Sonmez και Ahmet Aykac, ανέφεραν ότι η διαδικασία κρυπτογράφησης για το ESXiArgs μπορεί να κάνει λάθη που επιτρέπουν στα θύματα να επαναφέρουν κρυπτογραφημένα δεδομένα. Ο Levrard της OVH δήλωσε ότι η ομάδα του δοκίμασε τη διαδικασία αποκατάστασης που περιέγραψαν οι ερευνητές και διαπίστωσε ότι ήταν επιτυχής σε περίπου δύο τρίτα των προσπαθειών.

Όποιος βασίζεται στο ESXi θα πρέπει να σταματήσει ό,τι κάνει και να ελέγξει αν έχουν εγκατασταθεί τα patches για το CVE-2021-21974. Οι συμβουλές που αναφέρονται παραπάνω παρέχουν επίσης περισσότερες οδηγίες για το κλείδωμα διακομιστών που χρησιμοποιούν αυτόν τον hypervisor.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Ars Technica

[BlueChris]

Γεγονός.

Έχασα έναν από τους 2 backup server μου στην OVH την Παρασκευή που ήταν esxi... οκ μικρό το κακό γιατί ήταν Backup και απλά έκανα reinstall και φυσικά δικό μου το λάθος γιατί δεν τον patchara ποτέ τον συγκεκριμένο ενώ στο μαγαζί είμαι πάντα fully updated... ας πρόσεχα

[icemangr04]

Καταλαβαίνω σωστά ότι για να είναι δυνατή αυτή η επίθεση η πόρτα 427 TCP πρέπει να είναι ανοιχτή προς το Internet?
Έχουμε Co location σε Datacenter αλλά είμαστε πίσω από δικό μας Firewall σε δικό μας Private Network οπότε θεωρω ότι είμαστε Safe λογικά.

[BlueChris]

Καταλαβαίνω σωστά ότι για να είναι δυνατή αυτή η επίθεση η πόρτα 427 TCP πρέπει να είναι ανοιχτή προς το Internet?
Έχουμε Co location σε Datacenter αλλά είμαστε πίσω από δικό μας Firewall σε δικό μας Private Network οπότε θε ρω ότι είμαστε Safe λογικά.

΄Σωστά. Εγώ αυτόν τον είχα χύμα στο κύμα και ήταν με 6.7 έκδοση ακριβώς λίγο πριν βρουν το mitigation.

[BillyVan]

Εχω μεινει στο ESXi 6.0 Update 3 A07.

Firewall υπάρχει.

Πορτες ανοιχτες υπαρχουν προς υπηρεσιες που τρεχω ( η 427 οχι)

Επειδη δεν το εχω υποψιν μου η επίθεση γινεται προς την συγκεκριμενη και αποκτουν προσβαση?

Αφορα και την έκδοση που έχω?

[ariadgr]

Αφορα και την έκδοση που έχω?

Ψαξτο λιγακι αφου σε ενδιαφέρει

https://www.vmware.com/security/advi...2021-0002.html

[BlueChris]

Εχω μεινει στο ESXi 6.0 Update 3 A07.

Firewall υπάρχει.

Πορτες ανοιχτες υπαρχουν προς υπηρεσιες που τρεχω ( η 427 οχι)

Επειδη δεν το εχω υποψιν μου η επίθεση γινεται προς την συγκεκριμενη και αποκτουν προσβαση?

Αφορα και την έκδοση που έχω?

Ναι την 427 χτυπάνε.

Καταρχήν εσύ μπορείς να περάσεις τα τελευταία patch και είσαι ΟΚ αλλά και τίποτα να μην κάνεις, αν δεν έχεις τα patch τα τελευταία, απλά μένεις ανοιχτός σε επίθεση στο εσωτερικό δίκτυο μόνο.
Από εκεί και πέρα δεν ξέρω τι σέρβερ έχεις και αν χρησιμοποιείς το CIM στο σέρβερ σου αλλά αν όχι τότε απλά κλείσε το service slpd στο σέρβερ σου τελείως να μην ξεκινάει μετά από reboot.

Περισσότερα εδώ

How to Disable/Enable the SLP Service on VMware ESXi (76372)


Εδώ το email που πήρα την Παρασκευή από την OVH αλλά ήταν ήδη αργά.

Dear customer,

ESXi servers running versions 7.0u3i and lower are currently being targeted by adversaries in order to deploy ransomware.

We have identified that your dedicated server xxxxxxxx has been installed with esxi67_64 and could be impacted by these attacks. The email is sending to you in order to give you few recommandations to help you reduce your exposure to these attacks.

These attacks are detected worldwide and in Europe. According to cyber security experts, a ransomware group is behind it using CVE-2021-21974 as a vector of compromise. Investigations are still ongoing to confirm these assumptions. Our technical teams are working on the detailed identification of attack characteristics while coordinating with our peers from other CERTs and security teams.



How to protect yourself?

This attack targets ESXi servers older than 7.0 U3i, apparently via the OpenSLP port (427).

To check your ESXi version, please refer to the ESXi interface on the system itself.
If you think you are impacted, we strongly recommend to take these actions you as soon as possible:
- disable the Openslpd service on your server or restrict access to only trusted IP addresses (https://kb.vmware.com/s/article/76372)
- update your ESXi with the latest security patches available

Then make sure:
- you have backups
- only mandatory services are active and filtered with ACL to a trusted IP address only;
- monitor your system for abnormal activity.

The OVHcloud Team

[BillyVan]

Σας ευχαριστω και τους δύο.

Εκλεισα το slpd...

Νομιζω θαμαι οκ.

[Freak]

Της μουρλής γίνεται με απλά λόγια !!!!!

[BlueChris]

Έφαγα νέο email από την OVH χτες για το θέμα..

Hello,
A new incident PUB0001520 communication has been published in the OVHcloud Help Centre:
As per our last message on February 3rd, we do confirm a wave of attack is still targeting ESXi servers (versions prior to 7.0 U3i). According to experts from the ecosystem as well as authorities, the malware is probably using CVE-2021-21974 as an attack vector. We are closely monitoring the situation with Authorities and our Providers. Investigation is still ongoing to confirm these assumptions.
We have identified that one or more of your servers could be targeted by these attacks. We recommend that your urgently inspect your server fleet. Infected VMs display a ransomware message when connecting to the vSphere administration panel.
The perimeter impacted by this attack does not fall under the layer managed by OVHcloud, so the corrective actions we can take are limited. However, our security experts have investigated the matter, and we can share the below analysis and recommendations
Analysis:
• The attack vector is confirmed to use an OpenSLP vulnerability that might be CVE-2021-21974 (still to be confirmed). The logs show the user dcui as involved in the attack process.
• Encryption is using a public key deployed by the malware in /tmp/public.pem
• The encryption process is specifically targeting virtual machines files (“.vmdk”, “.vmx”, “.vmxf”, “.vmsd”, “.vmsn”, “.vswp”, “.vmss”, “.nvram”,”.vmem”)
• The malware tries to shut down virtual machines by killing the VMX process to unlock the files. This function is not systematically working as expected resulting in files remaining locked.
• The malware creates argsfile to store arguments passed to the encrypt binary (number of MB to skip, number of MB in encryption block, file size)
• No data exfiltration seems to be occurring
Recommendations:
• Disable the OpenSLP service on all servers or restrict access to trusted IP addresses only (https://kb.vmware.com/s/article/76372)
• Update your ESXi with the latest security patches available
• Ensure your data is saved or backed up
• Ensure only necessary services are active and filtered with ACL to trusted IP addresses only
• Monitor your system for abnormal behavior.
If your machine has already been encrypted and you have a backup of your data, you can also reinstall your server with the latest version of ESXi. You can then restore and/or reinstall your virtual machines. If you need help restoring your data or reinstalling your server, please create a ticket to our support and we will share details of partner companies that specialize in managing such situations.
The OVHcloud managed HPC services powered by VMWare are not impacted by this attack. By design, the SSL gateway prevents this type of attack by blocking the external access to this port (OpenSLP 427).
For more information, we will regularly update our blog: https://blog.ovhcloud.com/ransomware...g-vmware-esxi/

Thank you for choosing OVHcloud.
The OVHcloud team