ظهور فيرس فدية جديد يستهدف اجهزة VMware ESXi

News
مع تتابع ظهور فيروسات الفدية فى بدايات هذا العام ظهر فيرس فدية جديد يستهدف أجهزة VMware ESXi فى جميع انحاء العالم
Mostafa Tamam
Feb. 7, 2023, 2:54 p.m.
mostafa_tamam
ظهور فيرس فدية جديد يستهدف اجهزة VMware ESXi

قبل بداية التعرف على كيفية ظهور هذا الفيرس وكيف يؤثر على اجهزة VMware ESXi دعنا اولا نتعرف على ما هى هذة الأجهزة وكيف السبيل الى الوقاية من هذة الهجمات ..

ما هى اجهزة VMware ESXi؟

تعد اجهزة ال Virtual machine او ال VM اجهزة مفيدة جدا للمستخدمين فاذا اردت ان تجمع بين نظامين على جهازك كـ Linux و Windows ما عليك الا ان تستخدم برامج الـ VM، فمثلا تتيح لك استضافة نظام Linux على نظامك بدلا من شراء جهاز كمبيوتر آخر، تعمل برامج ال VM كـ Host اى كمضيف فى الوسط ولكن اذا اردت ان تستخدم ال VM مباشرة بدون وسيط ما عليك الا استخدام برامج ال "bare- metal hypervisor" كبرنامج VMware ESXi.

ما هو فيرس الفدية الجديد الذى يؤثر على هذة الأجهزة؟

ظهر فى 3 فبراير من هذا العام فيرس فدية جديد والذي يؤثر على الآلاف من خوادم VMware ESXi حول العالم، يوثر هذا الهجوم على الأصدارات 7.0u3i وما اقل من ذلك.


قال فريق الاستجابة للطوارئ الحاسوبية (CERT) في فرنسا" يبدو أن حملات الهجوم هذه تستغل ثغرة CVE-2021-21974، والتي يتوفر لها تصحيح منذ 23 فبراير 2021 لاستهداف خوادم ESXi واختراقها "


بينما التحقيقات لازالت جارية بهذا النوع من فيروسات الفدية كشفت التحقيقات الأولية ان هذة البرامج تعتمد بشكل اساسى على المنفذ OpenSLP (427) للوصول الى سيرفرات ESXi وتشفير الهارد ديسك ايضا من الممكن أستخدام الـ heap- overflow على خدمة OpenSLP مما يؤدى الى تنفيذ ثغرة RCE

وضحت ايضا شركة OVHcloud المتخصصة فى خدمات الـ Cloud ان هذة الهجمات حصلت بشكل كبير على العالم وبالأخص الدول الأوروبية، وتوضح ايضا ان هناك احتمالية ربط هذة الهجمات مع برامج الفدية Nevada الذى ظهرت فى اواخر عام 2022 وتشمل عائلات هذة البرامج كـ BlackCat و Hive و Luna و Nokoyawa

صورة من رسالة الفدية

كيفية حماية سيرفرات ESXi من برامج الفدية الجديدة؟

1- تعطيل خدمات OpenSLP بأعتبارها المدخل الوحيد لتنفيذ هذا الأختراق
2- اضافة whitelist لكل ال IP المسموح بالدخول الى خدمات الـ OpenSLP
3- قد اصدرت VMware ESXi تحديثا جديدا لمفادة هذا النوع من الهجمات لذلك قم بالتحديث الأخير
4- تعطيل خدمة SSH وخدمات Console Shell
5- تأكد بالطبع من كل الخدمات التى تستخدمها على النظام واستخدم الضرورى فقط لمفادة هذا الهجوم

الى هنا نكون قد قمنا بتغطية الخبر لذلك قم بالتحديثات الازمة وشارك الخبر على منصات الـ Social media لتعم الأفادة والسلام ختام smiley

References:

Ransomware targeting VMware ESXi
New Wave of Ransomware VMware ESXi
bare-metal hypervisor


Ransomware.VMware-ESXi news CVE-2021-21974 OpenSLP port 427 Mostafa Tamam