چندین سرور در سراسر جهان تحت تأثیر یک سری حملات سایبری قرار گرفته اند که ظاهراً از یک آسیب پذیری دو ساله در ابزار مدیریت محاسبات ابری VMware سوء استفاده می کنند. این حملات با نصب باج افزار به سرورهای زیادی آسیب رسانده است.
با توجه به ArsTechnica، هکرها از آسیب پذیری برنامه هایپروایزر VMware تحت عنوان ESXi آنها از آن استفاده می کنند که به شرکت های میزبان ابری و سایر شرکت های بزرگ فروخته می شود تا به آنها در مدیریت منابع سخت افزاری کمک کند.
ESXi یک Hypervisor نوع 1 است، به این معنی که سیستم عامل خود را بر روی سرورها اجرا می کند. از سوی دیگر، سرورهایی که از هایپروایزر نوع 2 مانند VirtualBox استفاده می کنند، برنامه های خود را بر روی سیستم عامل میزبان اجرا می کنند.
تیم های واکنش اضطراری (CERT) در فرانسه، ایتالیا و اتریش تاکنون اعلام کرده اند بیش از 3200 سرور آنها به این باج افزار آلوده شده اند. البته از آنجایی که سرورهای ESXi تعداد زیادی سیستم را به عنوان ماشین مجازی ایجاد می کنند، این رقم در عمل باید چندین برابر باشد.
در آن زمان، آسیبپذیری ESXi به عنوان بحرانی طبقهبندی شد
هکرها برای حملات خود از آسیب پذیری CVE-2021-21974 استفاده کرده اند که از سرریز بافر در OpenSLP رخ می دهد. هنگامی که VMware در فوریه 2021 این مشکل را برطرف کرد، به مشتریان هشدار داد که هکرها می توانند از این آسیب پذیری از طریق پورت 427 سوء استفاده کنند. این مشکل نمره تشدید 8.8 او 10 گل زده بود.
شرکت میزبانی ابری OVH در بیانیهای اعلام کرد که نمیتواند سرورهای پیکربندی شده توسط مشتریان خود را از این آسیبپذیری مستثنی کند: «ما چندین طرح مبتنی بر گزارشهای خودکار برای شناسایی سرورهای آسیبپذیر در حال اجرا ESXI راهاندازی کردهایم. [ولی] اکنون فقط می توانیم اقدامات محدودی انجام دهیم زیرا دسترسی منطقی به سرورهای مشتریان خود نداریم.”
کارشناسان این حمله سایبری و باج افزار آن را با عنوان ESXiArgs آنها به خاطر می آورند زیرا این بدافزار پس از رمزگذاری اسناد، فایل های با پسوند args. این کار را انجام می دهد. این فایل ها ظاهرا حاوی داده هایی هستند که امکان رمزگشایی اطلاعات رمزگذاری شده را فراهم می کند.
کسانی که دارای سرورهای مجهز به ESXi هستند باید اطمینان حاصل کنند که وصله آسیبپذیری CVE-2021-21974 در اسرع وقت روی سرورهایشان نصب شده است.