Iskorištavanje ranjivosti VMware ESXi hipervizora

Primijećeno je aktivno iskorištavanje dvije godine stare kritične ranjivosti oznake CVE-2021-21974 [1] na VMware ESXi poslužiteljima koju napadači koriste kako bi postavili tzv. EsxiArgs ucjenjivački zloćudni kod (eng. ransomware). Radi se o heap-overflow ranjivosti unutar Service Location Protocol (SLP) servisa koja napadaču omogućava udaljeno izvršavanje koda. Na meti su trenutno najviše ESXi hipervizori verzija 6.x < 6.7 [2].
 
Navedena ranjivost zahvaća sljedeće ESXi verzije:
                - ESXi 7.x < ESXi70U1c-17325551
                - ESXi 6.7.x < ESXi670-202102401-SG
                - ESXi 6.5.x < ESXi650-202102101-SG
                
Savjetuje se žurno ažuriranje ESXi servisa na najnoviju verziju te isključivanje Service Location Protocol (SLP) servisa na ESXi hipervizorima koji nisu ažurirani. Također, preporuča se provjera eventualne izloženosti servisa prema Internetu te da se sukladno tome pravilno podese postavke vatrozida kako bi se smanjila sigurnosna izloženost.
                
Više informacija moguće je pročitati na poveznicama u nastavku:
[1] https://www.cve.org/CVERecord?id=CVE-2021-21974
[2] https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/
                
 
[13.02.2023. - 15:34] - inicijalna publikacija