法意芬多国发布预警,要求立刻安装补丁!
前情回顾·重大网络安全事件预警
- 畅捷通漏洞被勒索软件利用攻击国内企业,工信部漏洞平台预警!
- 国内仿冒电子邮箱发起钓鱼邮件攻击事件频发!工信部发布预警
- 意大利多个重要政府网站遭新型DDoS攻击瘫痪,该国CERT发布警告
- 法国CERT首次预警勒索软件附属团伙:已攻陷多家法国公司
安全内参2月7日消息,欧洲网络安全监管机构警告称,勒索软件攻击者正在大规模主动利用一个已存在近2年的VMWare ESXi漏洞。
这次攻击被命名为ESXiArgs,原因是勒索软件加密文件后,会创建一个扩展名为.args的附加文件。研究人员称,该文件中包含关于如何解密被锁文档的信息。
安全大数据公司Censys对勒索信息进行了检索和披露,显示欧洲和北美已有数千台服务器遭到破坏。奥地利计算机安全应急响应小组在周一也发出警告,称至少有3762个系统受到了影响。
据悉,意大利、法国、芬兰、美国、加拿大等国均遭到攻击。美联社报道称,勒索攻击发生时,意大利电信公司出现大规模互联网中断,意大利总理办公室已就勒索攻击发布了公告。
遭利用漏洞在两年前披露,
PoC已大范围传播
根据VMWare官方介绍,ESXi这款产品属于裸机管理程序可直接访问并控制底层资源。这种对关键文件的访问能力,恰恰是攻击者借以破坏大量用户资源的突破口。
遭利用的VMWare ESXi漏洞编号为CVE-2021-21974,已经在2021年2月正式发布补丁。政府机构和网络安全专家敦促各系统管理员,应立即对未经补丁修复的服务器进行更新。
该漏洞最初由俄罗斯安全公司Positive Technologies的Mikhail Klyuchnikov发现。这家公司曾因向黑客团伙销售网络工具而受到美国商务部的制裁。
目前没有任何迹象表明,Klyuchnikov的披露与商务部制裁或者当前勒索攻击活动有关。VMWare官方在漏洞确认中还对Klyuchnikov表达了感谢。
2021年5月以来,已经出现了针对CVE-2021-21974漏洞的有效概念验证(PoC),但目前还不清楚ESXiArgs攻击中采取的是不是同样的方法。
法意芬多国发布预警,
要求立刻安装补丁
法国计算机应急响应小组(CERT-FR)在上周五发布公告,就此次勒索软件攻击发出警告。
意大利国家网络安全局也在上周六晚间表示,此漏洞正被用于散播勒索软件。
法国CERT负责人Mathieu Feuillet在推特上透露,该小组收到了大量与此次事态相关的报告,并强调要紧急处理。
法国云计算公司OVHCloud的首席信息安全官Julien Levrard警告称,该公司的技术团队在全球范围内持续检测勒索软件攻击。
Levrard表示,OVHCloud团队最初以为此次攻击与Nevada勒索软件有关,但随后发现是错误关联,目前暂时无法做出确切归因。
芬兰网络安全中心Kyberturvallisuuskeskus强调,应立即安装安全补丁,并警告称考虑到影响范围巨大,尚未更新的服务器很可能被黑客入侵。
参考资料:therecord.media
