Af Eskil Sørensen, 09/02/23
CISA og FBI har udsendt en gendannelsesscript for at hjælpe de virksomheder, hvis servere blev kompromitteret som følge af udnyttelser af sårbarheder i ESXi-servere.
Det skriver The Register.
Sårbarheden stammer tilbage fra 2021, men kom på verdens læber i denne uge, efter at der blev observeret en kampagne med ransomware-angreb mod internetudsatte og sårbare ESXi-servere. Et angreb der er fulgt op med udbredelse af det, der har fået navnet ESXiArgs ransomware, og som trusselsaktørerne anvender til at kryptere VMware ESXi-servere.
Angrebene har angiveligt ramt mere end 3800 servere globalt, men det nævnes også, at antallet af ofre formentlig er højere. Ud over scriptet har CISA og FBI også offentliggjort en vejledning om, hvordan man gendanner systemer.
De amerikanske myndigheder opfordrer alle organisationer, der anvender VMware ESXi-servere, til at opdatere til den nyeste version af softwaren, hærde ESXi-hypervisorer ved at deaktivere Service Location Protocol (SLP)-tjenesten og sørge for, at ESXi ikke udsættes for det offentlige internet.
Det var de franske og italienske nationale CERT’er, der slog alarm om ransomware-kampagnen. Kampagnen udnytter CVE-2021-21974, som er en fejl med en høj CVSS-score på 9,1.
Links:
https://www.theregister.com/2023/02/08/esxiargs_ransomware_recovery_script/
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/08/cisa-and-fbi-release-esxiargs-ransomware-recovery-guidance
https://www.cisa.gov/uscert/ncas/alerts/aa23-039a
https://cert.dk/da/news/2023-02-07/VMware-opfordrer-til-patch-af-ESXi-servere