针对vmware勒索病毒的提醒与预防

最近的网络安全观察中，VMware ESXi  管理程序是新一波黑客攻击的目标，旨在在受感染的系统上部署勒索软件。这些攻击活动利用了 VMware 的  CVE-2021-21972 和 CVE-2021- 21974  漏洞，该漏洞在 VMware 官方的公告描述为  OpenSLP 堆溢出漏洞，可能导致任意代码的执行。 据不完全统计：全球已受影响服务器有 2453  台，国内已受影响服务器数十台左右。多国网络安全组织机构已对此发出警告。

我公司与 vmware 官方技术专家进行了相关的确认：vmwarevsphere esxi 7.0U1 及以下 版本存在此安全漏洞，7.0U2 及以后的版本均已不存在此安全漏洞。

如您单位正在使用 vmware vsphere 系统，特别提醒应及时确认使用的版本已升至 7.0U2 以后的版本，或者已经修复了此漏洞，以免给贵单位的数据中心带来不必要的损失。

在检查或升级的过程中，如有协同需求请与业务负责人对接联系，亦可直接与我公司技术部门联系 (0513-81181183)，我公司将竭尽所能提供相应的技术支持和服务。

针对 vmware 勒索病毒预防方案参考

近日，国家信息安全漏洞共享平台(CNVD)收录了 VMware vCenter Server 远程代码 执行高危漏洞(CVE -2021 -21972)、  VMware ESXi OpenSLP 堆溢出高危漏洞(CVE-2021 - 21974)。攻击者利用上述漏洞，可在未授权的情况下远程执行代码。

漏洞情况

VMware vSphere 是 VMware 公司推出一套服务器虚拟化解决方案，包括虚拟化、管理 和界面层。  VMware vSphere  的两个核心组件是 ESXi 服务器和 vCenter 。VMware ESXi 是 VMware 的裸机虚拟机管理程序， 用以创建运行虚拟机和虚拟设备。VMware vCenter Server 是管理整个 VMware 虚拟化基础架构的软件，用于集中管理多个 ESXi 主机和以及在 ESXi 主 机上运行的虚拟机。

1.   VMware vCenter Server 远程代码执行漏洞(CVE-2021-21972)：  vCenter Server 插件中存在一个远程执行代码漏洞，授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求，  从而在服务器上写入 webshell，最终造成远程任意代码执行。

2.   VMware ESXi 堆溢出漏洞(CVE-2021-21974)：当 ESXi 在 OpenSLP 服务中处理数 据包时，由于边界错误，本地网络上的远程非身份验证攻击者可以将伪造的数据包 发送到 427 端口，触发基于堆的缓冲区溢出，并在目标系统上执行任意代码。

影响范围

1.   VMware   vCenter   Server   远程代码执行漏洞  (  CVE-2021-21972  )： VMware:vcenter_server 7.0 、6.7 、6.5 版本。

2.   VMware ESXi 堆溢出漏洞(CVE -2021 -21974)  VMware:ESXi70U1c-17325551 7.0 版本，VMware:ESXi670-202102401 -SG 6.7 版本，VMware:ESXi650-202102101 -SG 6.5 版本。

中毒现象

VMware vsphere 集群仅有 vCenter 处于正常状态。

VMware vsphere 部分：

浏览 ESXI Datastore 发现，虚拟机磁盘文件.vmdk，虚拟机描述文件.vmx 被重命名， 手动打开.vmx 文件，发现.vmx 文件。

VMware vm -support 日志收集包中，竟然也有勒索软件生成的说明文件。

勒索风险自查

步骤一：检查/store/packages/目录下是否存在 vmtools.py 后门文件。如果存在，建议立即删除该文件。

步骤二：检查/tmp/目录下是否存在 encrypt、encrypt.sh、public.pem、motd、index.html 文件，如果存在，应及时删除。

勒索处置建议

步骤一：立即隔离受感染的服务器，进行断网；

步骤二：使用数据恢复工具恢复数据或重装 ESXi

步骤三：恢复修改后的部分文件

(1)  查看/usr/lib/vmware 目录下的 index.html 文件是否为勒索信，如果是，立即删除 该文件。

(2)  查看/etc/目录下是否存在 motd 文件，如果存在，立即删除。

漏洞自查

(1)  查看 ESXi 的版本

方式 1：登陆 EXSi 后台，点击帮助 -关于，即可获取版本号。

方式 2：访问 EXSi 终端，输入“vmware -vl”命令即可获取版本号。

(2)  查看 OpenSLP 服务是否开启

访问 EXSi 终端， 输入“chkconfig --list | grep slpd”命令即可查看 OpenSLP 服务是否开 启。输出“slpd on”为开启，输出“slpd off”则代表未开启。

若 ESXi 版本在漏洞影响范围内，且 OpenSLP 服务开启，则可能受此漏洞影响。

漏洞加固

加固方案 1：升级 ESXi 至 7.0U2 及以上版本

加固方案 2：在 ESXi 中禁用 OpenSLP 服务

禁用 OpenSLP 属于临时解决方案，该临时解决方案存在一定风险，建议用户可根据业务系统特性审慎选择采用临时解决方案：

1、使用以下命令在 ESXi  主机上停止 SLP 服务： /etc/init.d/slpd stop

2、运行以下命令以禁用 SLP 服务且重启系统 后生效： esxcli network firewall ruleset set -r CIMSLP -e 0 chkconfig slpd off

3、运行此命令检查禁用 SLP 服务成功：

chkconfig --list | grep slpd

若输出 slpd off  则禁用成功

停止 SLP 服务后，运行攻击脚本发现 427 端口已经关闭，漏洞无法进行利用。