تیم CERT-FR فرانسه هشدار داده است که سرورهای VMware ESXi وصله نشده به شدت در برابر دو آسیب پذیری قدیمی اجرای کد از راه دور، توسط باج افزار جدید ESXiArgs در خطر هستند.
آسیب پذیری با شماره CVE-2021-21974 یک حفره امنیتی در سرویس OpenSLP بوده که می تواند توسط مهاجمان اجراز هویت نشده در حملات با پیچیدگی کم مورد بهره برداری قرار بگیرد.
به منظور مسدودسازی حملات، ادمین باید سرویس SLP را در ESXi hypervisorهایی که هنوز به روز نشده اند غیرفعال کند.
CERT-FR به شدت توصیه می کند که مدیران شبکه هر چه سریعتر وصله های امنیتی را نصب نموده و سیستم هایی که بدون وصله هستند را به منظور یافتن نشانه های خطر بررسی کنند.
آسیب پذیری CVE-2021-21974 روی سیستم های زیر اثر گذاشته است:
• ESXi versions 7.x prior to ESXi70U1c-17325551
• ESXi versions 6.7.x prior to ESXi670-202102401-SG
• ESXi versions 6.5.x prior to ESXi650-202102101-SG
طبق گزارشات امنیتی حداقل 120 سرور VMware ESXi در سراسر جهان در معرض خطر این باج افزار هستند.
باج افزار جدید ESXiArges
با توجه به نوع پیغام باج افزار، بنظر می آید این باج افزار از خانواده جدیدی بوده و ربطی به باج افزار Nevada ندارد. این بدافزار فایل ها را با پسوندهای .vmxf .vmx .vmsd و .nvram رمزنگاری می کند و یک فایل .args برای هر مستند رمزشده ای با متادیتا ایجاد می کند.
در حالیکه که مهاجمان پشت این حمله ادعا می کنند که اطلاعاتی را به سرقت برده اند، اما طبق گزارشات رسیده از قربانیان، هنوز چنین اتفاقی رخ نداده است.
قربانیان همچنین یادداشت باجی با نام ransom.html و How to Restore Your File.html روی سیستم های رمز شده خواهند دید.
جزییات فنی این باج افزار
با توجه به آنالیز اسکریپت و encryptor جزییات بهتری از این حمله به دست آمده است. زمانی که سرور مورد بهره برداری قرار می گیرد فایل های زیر در فولدر /tmp ذخیره می شوند:
encrypt : The encryptor ELF executable.
encrypt.sh:
یک پوسته اسکریپت که وظایف مختلفی را قبل از اجرای encryptor انجام میدهد.
public.pem :
یک کلید RSA که برای رمزنگاری فایل استفاده می شود.
Motd:
یادداشت باج به شکل متن که در /etc/motd کپی شده تا در زمان ورود نمایش داده شود. فایل اصلی سرور در /etc/motd1 کپی می شود.
index.html :
یادداشت باج در فرمت HTML که در صفحه اصلی VMware ESXi نمایش داده شود. فایل اصلی سرور در index1.html همان فایل ذخیره می شود.
طبق بررسی های انجام شده توسط محققین متاسفانه این رمزنگاری امن بوده و هیچ باگی در آن وجود ندارد که برای رمزگشایی استفاده شود.
Encryptor توسط پوسته فایل اسکریپت اجرا می شود و خطوط دستوری ای شامل فایل کلید RSA عمومی، فایل برای رمزنگاری داده هایی که نباید رمزنگاری شود، سایز فایل و … را اجرا می کند.
usage: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]
enc_step - number of MB to skip while encryption
enc_size - number of MB in encryption block
file_size - file size in bytes (for sparse files)زمانی که این Encryptor اجرا می شود، اسکریپت دستورات زیر را برای تغییر تنظیمات فایل های ماشین مجازی ESXi (.vmx) تا زمانی که رشته های .vmdk و .vswp به 1.vmdk و 1.vswp تبدیل شوند، اجرا می کند.
اسکریپت به دنبال فایل هایی با پسوندهای زیر خواهد بود:
.vmdk
.vmx
.vmxf
.vmsd
.vmsn
.vswp
.vmss
.nvram
.vmemو برای هر فایلی که پیدا می کند، یک فایل [file_name].args در همان فولدر ایجاد می کند که شامل مرحله محاسبه سایز، 1 و سایز فایل می باشد. سپس encrypt قابل اجرا را برای رمزنگاری فایل براساس پارامترهای محاسبه شده طبق تصویر زیر، اجرا می شود:
بعد از رمزنگاری فایل index.html و فایل motd سرور همراه با یادداشت باج جایگزین می شوند.
نهایتا این اسکریپت اقدام به پاکسازی و حذف برخی از ابزارهایی که بنظر backdoor می آیند و در مسیر store/package/vmtools.py (VirusTotal)/ قرار دارد و خطوط مختلفی از فایل های زیر می نماید:
/var/spool/cron/crontabs/root
/bin/hostd-probe.sh
/etc/vmware/rhttpproxy/endpoints.conf
/etc/rc.local.d/local.sh
ادمین های شبکه باید سیستم ها را به منظور یافتن فایل vmtools.py بررسی کرده و اگر چنین فایلی پیدا کردند فورا آن را حذف کنند.
منبع:https://www.bleepingcomputer.com
