上海阀门网站建设,直接做的黄页视频网站,手机高端网站建设,单页网站QQ空间一、漏洞简介
vSphere 是 VMware 推出的虚拟化平台套件#xff0c;包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心#xff0c;可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。
vSphere Client#xff08;HTML5#xf…一、漏洞简介
vSphere 是 VMware 推出的虚拟化平台套件包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。
vSphere ClientHTML5 在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求写入webshell控制服务器。
就是VMware套件有个Web管理界面漏洞在一个未授权的上传接口写入shell并执行命令。
二、影响范围 VMware vCenter Server 7.0系列 7.0.U1c VMware vCenter Server 6.7系列 6.7.U3l VMware vCenter Server 6.5系列 6.5 U3n VMware ESXi 7.0系列 ESXi70U1c-17325551 VMware ESXi 6.7系列 ESXi670-202102401-SG VMware ESXi 6.5系列 ESXi650-202102101-SG
RedAlert勒索病毒又称为N13V勒索病毒是2022年一款新型勒索病毒同年7月被首次曝光主要针对Windows和Linux VMWare ESXi服务器进行加密攻击到目前为止该勒索病毒黑客组织在其暗网网站上公布了一名受害者同时该名受害者在其官网上也发布了被黑客攻击的信息该名受害者企业正在与网络犯罪领域的专家进行取证和溯源工作并发布了相关的公告。
“勒索病毒”一览
勒索病毒是一种恶意程序专门将本机与网路储存上的重要档案加密之后要求支付赎金才能解开档案。整体来讲勒索病毒攻击分为六个阶段——初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索。
勒索病毒难以根除的主要原因一方面是勒索病毒传播方式多样传统网络安全防护技术无法完全覆盖另一方面是安全存储技术体系要求不够完善数据存储层勒索防护措施应用不足。且随着网络安全体系的不断完善勒索病毒也日益呈现出新特点攻击对象日趋精准化、攻击主体日益专业化、攻击模式趋于多样化。
危机应对
随着整体数据规模持续增长面对日益猖狂的勒索病毒各国各地区纷纷做出应对。我国国家互联网应急中心出台的《勒索软件防范指南》从分类分级、密码设置等方面作出指导提出了“要备份重要数据和系统。重要的文件、数据和业务系统要定期进行备份并采取隔离措施严格限制对备份设备和备份数据的访问权限防止勒索软件横移对备份数据进行加密”的方向性要求。
作为抵御勒索病毒的最后一道防线科学可靠的数据备份与业务系统容灾可以帮企业将可能会面临的风险系数降至最低使其业务在遭到勒索软件攻击后能够迅速恢复确保的数据可用性和业务连续性。
针对此次ESXi Args勒索事件为广大用户提供了行之有效的VMware虚拟机备份解决方案最大程度上保证用户数据安全运行。
1、 LAN-Free提升备份效率
备份软件在备份VMware时不仅支持LAN-Based的备份数据传输链路还提供包括搭建备份网络、通过SAN传输备份数据的LAN-Free模式不会占用生产带宽与网络备份速度更快备份效率更高且不会影响生产环境的正常运行。
常规加固
1.默认情况下ESXi Shell 接口和 SSH 接口处于停用状态。除非要执行故障排除或支持活动否则这些接口应保持停用状态。对于日常活动 请使用 vSphere Client或vcenter管控使操作受制于基于角色的访问控制权限。 2.默认情况下只有ESXI主机内部分防火墙端口处于打开状态需明确打开与特定服务关联的防火墙端口作用。。 3.ESXi 仅运行管理其功或服务要求只分发仅限于运行 ESXi 所需的功能。 4.默认情况下弱密码是被停用来自客户端的通信将通过 SSL 进行保护。用于保护通道安全的确切算法取决于 SSL 握手。 在 ESXi 上创建的默认证书会使用带有 RSA 加密的 PKCS#1 SHA-256 作为签名算法。ESXi 使用内部 Web 服务支持通过 Web Client 进行访问。 该服务已修改为只运行 Web Client 进行系统管理和监控所需的功能。 5、条件允许话请尽快对ESXI各版本补丁修复因ESXI所涉及虚拟化主机较多业务用途各异修补过程中需重起设备。 6.所有ESXI主机不允许直接暴露到互联网上理论上禁止接入互联网。
中招什么办
攻击者加密后会导致关键数据被损坏虚拟机 (VM)处于关闭、无法连接状态可能造成用户生产环境停线的严重后果除了面临部分业务被中断被攻击者还面临着2比特币左右的勒索赎金给正常工作带来了极为严重的影响。
风险排查、紧急加固及处置建议
勒索风险自查
步骤一检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在建议立即删除该文件。
步骤二检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件如果存在应及时删除。
勒索处置建议
步骤一立即隔离受感染的服务器进行断网
步骤二使用数据恢复工具恢复数据或重装ESXi
美国CISA发布了 ESXiArgs 勒索软件恢复脚本相关链接如下
https://github.com/cisagov/ESXiArgs-Recover
步骤三重复“勒索风险自查”步骤
步骤四恢复修改后的部分文件
1查看/usr/lib/vmware目录下的index.html文件是否为勒索信如果是立即删除该文件。
2查看/etc/目录下是否存在motd文件如果存在立即删除。
漏洞自查
1查看ESXi的版本
方式1登陆EXSi后台点击帮助-关于即可获取版本号。 方式2访问EXSi终端输入“vmware -vl”命令即可获取版本号。
2查看OpenSLP服务是否开启
访问EXSi终端输入“chkconfig --list | grep slpd”命令即可查看OpenSLP服务是否开启。输出“slpd on”为开启输出“slpd off”则代表未开启。
若ESXi版本在漏洞影响范围内且OpenSLP服务开启则可能受此漏洞影响。
漏洞加固
加固方案1升级ESXi至如下版本
加固方案2在ESXi中禁用OpenSLP服务
禁用OpenSLP属于临时解决方案该临时解决方案存在一定风险建议用户可根据业务系统特性审慎选择采用临时解决方案
1、使用以下命令在ESXi 主机上停止SLP 服务
/etc/init.d/slpd stop
2、运行以下命令以禁用SLP 服务且重启系统 后生效
esxcli network firewall ruleset set -r CIMSLP -e 0
chkconfig slpd off
3、运行此命令检查禁用SLP 服务成功
chkconfig --list | grep slpd
若输出slpd off 则禁用成功
停止SLP服务后运行攻击脚本发现427端口已经关闭漏洞无法进行利用。
