سرورهای پرشماری در سراسر دنیا تحت مجموعهای از حملات سایبری قرار گرفتهاند که ظاهراً از آسیبپذیری دو سال پیش ابزار مدیریتی VMware در مجموعههای ابری استفاده میکنند. این حملات با نصب باجافزار بسیاری از سرورها را دچار مشکل کردهاند.
به گزارش ArsTechnica، هکرها از آسیبپذیری برنامه هایپروایزر VMware موسوم به ESXi استفاده میکنند که به شرکتهای ارائهدهنده خدمات میزبانی ابری و دیگر کسبوکارهای بزرگ فروخته میشود تا در مدیریت منابع سختافزاری به آنها کمک کند.
ESXi یک هایپروایزر نوع 1 است؛ یعنی سیستمعامل خودش را روی سرورها اجرا میکند. درآنسو، سرورهایی که از هایپروایزرهای نوع 2 مثل VirtualBox استفاده میکنند، برنامههای خود را روی سیستمعامل میزبان اجرا میکنند. تیمهای واکنش اضطراری (CERT) در فرانسه، ایتالیا و اتریش میگویند تاکنون بیش از 3200 سرور به این باجافزارها آلوده شدهاند. البته چون سرورهای ESXi تعداد زیادی سیستم را بهصورت ماشین مجازی میسازند، این رقم در عمل باید چندین برابر باشد.
آسیبپذیری ESXi همان موقع با عنوان وخیم معرفی شده بود
هکرها برای حملات خود از آسیبپذیری CVE-2021-21974 استفاده کردهاند که از سرریز بافر در OpenSLP بهوجود میآید. زمانی که VMware این مشکل را در ماه فوریه 2021 اصلاح کرد، به مشتریان خود هشدار داد که هکرها میتوانند از طریق پورت 427 از این آسیبپذیری سوءاستفاده کنند. این ایراد نمره وخامت 8.8 از 10 را دریافت کرده بود.
شرکت میزبانی ابری OVH در بیانیهای دراینباره اعلام کرده است که نمیتواند سرورهای پیکربندیشده توسط مشتریان خود را از این آسیبپذیری رها کند: «ما براساس لاگهای خودکار چندین طرح را برای شناسایی سرورهای در معرض خطر با ESXI راهاندازی کردیم. [ولی] اکنون فقط میتوانیم اقدامات محدودی انجام دهیم، چون به سرورهای مشتریانمان دسترسی منطقی نداریم.»
متخصصان از این حمله سایبری و باجافزاری آن با عنوان ESXiArgs یاد میکنند، چون این بدافزار پس از رمزنگاری اسناد، فایلهایی با پسوند args. میسازد. این فایلها ظاهراً حاوی دادههایی است که امکان رمزگشایی از اطلاعات رمزنگاریشده را فراهم میکنند. افرادی که دارای سرورهای مجهز به ESXi هستند، بهتر است هرچه سریعتر مطمئن شوند که پچ مربوط به آسیبپذیری CVE-2021-21974 روی سرور آنها نصب شده باشد.
دیدگاهها
Comments