En ny våg av attacker designade för att exekvera ransomware slår mot en känd sårbarhet i VMWare ESXi:s hypervisors.
Sårbarheten som utnyttjas är den två år gamla CVE-2021-21974. Den ger angripare möjlighet att exekvera skadlig kod på enheter genom att trigga en buffertöverskridning i OpenSLP via port 427. En patch för sårbarheten har funnits tillgänglig sedan februari 2021.
Följande ESXi versioner är påverkade:
- ESXi 7.x tidigare än ESXi70U1c-17325551
- ESXi 6.7.x tidigare än ESXi670-202102401-SG
- ESXi 6.5.x tidigare än ESXi650-202102101-SG
IT-Total rekommenderar att omedelbart uppgradera sina system till senast stabila version. En fullständig scan av systemet eller enheten bör också genomföras för att kunna upptäcka potentiella risker och sårbarheter. Administratörer rekommenderas undersöka möjligheten att stänga den påverkade porten, 427, utan att störa verksamhetens behov.
IT-Total vill påminna om att blockera de IP-adresser som är kopplade till hotaktören samt att inaktivera SLP på servrar som inte uppdaterats, för att vidare begränsa riskspridningen.
Källor och vidare läsning:
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21974
https://www.csa.gov.sg/singcert/Alerts/AL-2023-015
Vill ni veta mer om hur IT-Total kan hjälpa er med en hälsokontroll?