2年前的老漏洞重现“江湖(hú)”

还带来了全球大规模的勒索攻击？！

人心惶惶如何防？看这篇就够了！

近日，深信服千里目安全技术中心在运营工作中发现了一种新(xīn)的勒索软件ESXiArgs，该勒索软件于今年2月开始大规模出现。截至2月8日凌晨，基于censys统计数据，全球已受影响服務(wù)器有(yǒu) 2453 台，國(guó)内已受影响服務(wù)器数十台左右。多(duō)國(guó)网络安全组织机构已对此发出警告。

VMware ESXi 是 VMware 开放的服務(wù)器资源整合平台，可(kě)实现用(yòng)较少的硬件集中管理(lǐ)多(duō)台服務(wù)器，并提升服務(wù)器性能(néng)和安全性，大规模应用(yòng)于國(guó)内全行业的虚拟化平台建设，可(kě)直接访问并控制底层资源。

据分(fēn)析，攻击者利用(yòng)2年前发现的（已发布补丁，但客户侧未经修补） RCE 漏洞 CVE-2021-21974 将恶意文(wén)件传输至 ESXi 导致 OpenSLP 服務(wù)中的堆溢出，从而获得交互式访问，借以部署新(xīn)的 ESXiArgs 勒索病毒。

【详细分(fēn)析文(wén)章请点击：《ESXiArgs 勒索软件攻击之 VMware ESXi 服務(wù)器下的“天幕杀机”》】

國(guó)内存在该漏洞影响的服務(wù)器数量如下所示（基于shodan统计数据）：

勒索风险自查

步骤一：检查/store/packages/目录下是否存在vmtools.py后门文(wén)件。如果存在，建议立即删除该文(wén)件。

步骤二：检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文(wén)件，如果存在，应及时删除。

步骤一：立即隔离受感染的服務(wù)器，进行断网；

步骤二：使用(yòng)数据恢复工具恢复数据或重装ESXi

美國(guó)CISA发布了 ESXiArgs 勒索软件恢复脚本，相关链接如下：

https://github.com/cisagov/ESXiArgs-Recover

步骤三：重复“勒索风险自查”步骤；

步骤四：恢复修改后的部分(fēn)文(wén)件

（1）查看/usr/lib/vmware目录下的index.html文(wén)件是否為(wèi)勒索信，如果是，立即删除该文(wén)件。

（2）查看/etc/目录下是否存在motd文(wén)件，如果存在，立即删除。

根据外部情报调查显示，该勒索攻击利用(yòng)ESXI的未修补漏洞CVE-2021-21974进行勒索病毒投放，并且VMware厂商(shāng)表示并没有(yǒu)证据表明该勒索攻击使用(yòng)了0day。因而可(kě)以针对该漏洞进行预防。

（1）查看ESXi的版本

方式1：登陆EXSi后台，点击帮助-关于，即可(kě)获取版本号。

方式2：访问EXSi终端，输入“vmware -vl”命令即可(kě)获取版本号。

（2）查看OpenSLP服務(wù)是否开启

访问EXSi终端，输入“chkconfig --list | grep slpd”命令即可(kě)查看OpenSLP服務(wù)是否开启。输出“slpd on”為(wèi)开启，输出“slpd off”则代表未开启。

若ESXi版本在漏洞影响范围内，且OpenSLP服務(wù)开启，则可(kě)能(néng)受此漏洞影响。

加固方案1：升级ESXi至如下版本

ESXi7.0 版本:升级到 ESXi70U1c-17325551 版本及以上

ESXi6.7 版本:升级到 ESXi670-202102401-SG 版本及以上

ESXi6.5 版本:升级到 ESXi650-202102101-SG 版本及以上

加固方案2：在ESXi中禁用(yòng)OpenSLP服務(wù)

禁用(yòng)OpenSLP属于临时解决方案，该临时解决方案存在一定风险，建议用(yòng)户可(kě)根据业務(wù)系统特性审慎选择采用(yòng)临时解决方案：

1、使用(yòng)以下命令在 ESXi 主机上停止SLP 服務(wù)：

/etc/init.d/slpd stop  

2、运行以下命令以禁用(yòng) SLP 服務(wù)且重启系统后生效：

esxcli network firewall ruleset set -r CIMSLP -e 0 

chkconfig slpd off  

3、运行此命令检查禁用(yòng) SLP 服務(wù)成功：

chkconfig --list | grep slpd  

若输出slpd off 则禁用(yòng)成功  

停止SLP服務(wù)后，运行攻击脚本发现427端口已经关闭，漏洞无法进行利用(yòng)。

本次事件是由于老漏洞被利用(yòng)而引发的大规模勒索攻击事件。面对这一类突发事件，深信服提供了一套長(cháng)效治理(lǐ)的整體(tǐ)解决方案。

勒索入侵的方式多(duō)种多(duō)样，最终会攻陷服務(wù)器或PC终端，因此要想实现更加可(kě)靠的拦截，必须在云网端做到全方位保障。

深信服云网端安全托管方案“见招拆招”，在终端和网络针对勒索病毒复杂的入侵步骤打造了全生命周期防护，构建勒索风险有(yǒu)效预防、持续监测、高效处置的勒索病毒防御體(tǐ)系。

在云端，依托于安全托管服務(wù)MSS，云端安全专家7*24小(xiǎo)时监测分(fēn)析，定期将最新(xīn)漏洞态势、全球勒索攻击趋势、行业运营经验等赋能(néng)本地终端和网络安全设备，并总结攻击态势和防护结果，形成可(kě)视化报表，提升安全效果和价值呈现。同时提供勒索理(lǐ)赔服務(wù)，為(wèi)勒索防护兜底。

云网端安全托管方案针对勒索攻击，常态化构建整體(tǐ)防护體(tǐ)系，降低处置运维成本，致力于让用(yòng)户的安全體(tǐ)验领先一步，安全效果领跑一路。

本次攻击是日益猖獗的勒索攻击对nday漏洞的利用(yòng)，根据深信服勒索病毒态势分(fēn)析报告，有(yǒu)22.9%的勒索事件入侵是通过高危应用(yòng)漏洞攻击，漏洞的威力不容小(xiǎo)觑。因此对漏洞攻击的精准有(yǒu)效拦截是打造网络安全體(tǐ)系的“强大底座”。

深信服下一代防火墙具备丰富的威胁智能(néng)检测引擎，包括IPS泛化检测引擎、Web防护WISE语义引擎等，且拥有(yǒu)全面的Web攻击防御功能(néng)（支持13种主流Web攻击类型），从而使产品整體(tǐ)安全漏洞攻击拦截率达到99.7%，漏洞检测效果获得全球厂商(shāng)最高评分(fēn)，并成為(wèi)國(guó)内唯一以最高攻击拦截率通过CyberRatings AAA认证的防火墙产品。

此外，深信服下一代防火墙还搭载了全新(xīn)人机识别技术Antibot，开启后对访问请求进行主动验证，通过漏洞扫描防护和防口令爆破，从源头上防御勒索入侵问题。

同时，深信服AF可(kě)实现安全事件分(fēn)钟级告警、一键处置，通过云图平台，采用(yòng)微信即时通讯方式，在发送安全事件后第一时间通知安全运营人员，一键阻断攻击者后续入侵，提升安全响应效率。

作為(wèi)勒索攻击的最后一道防線(xiàn)，终端安全产品的重要性不言而喻。

在端点侧，深信服终端安全管理(lǐ)系统EDR通过一套平台架构面向PC、服務(wù)器，提供基于勒索病毒攻击链為(wèi)终端构建涵盖“预防-防护-检测响应”的4-6-5多(duō)层次立體(tǐ)防御。包括勒索诱捕、微隔离、轻补丁漏洞免疫、RDP爆破防护，二次登陆防护等等。

基于國(guó)际知名攻击行為(wèi)知识库 ATT&CK矩阵，深信服EDR对终端系统层、应用(yòng)层的行為(wèi)数据进行采集，覆盖 163 项技术面，贴合实际攻击场景，综合研判更加精准，并通过國(guó)际知名测评机构赛可(kě)达实验室的能(néng)力认证。

通过IOA+IOC 技术融合，EDR能(néng)够将端侧采集的行為(wèi)数据结合业務(wù)环境关联分(fēn)析，重现威胁入侵事件场景，从场景层面抽丝剥茧，提升研判精准度。

云端安全专家团队结合数据自动化聚合，对端侧上报的海量数据进行分(fēn)析，研判安全事件，精准定位威胁根因，快速响应。