แจ้งเตือนกรณี VMware พบกลุ่มแรนซัมแวร์มุ่งเป้าโจมตี ESXi Server ที่ไม่ได้รับการแพตช์
-
VMware และหน่วยงานรัฐบาลในกลุ่มประเทศยุโรปได้ออกแจ้งเตือนผู้ใช้งาน VMware ESXi Hypervisor ว่ากำลังพบการระบาดของแรนซัมแวร์ใน ESXi Server ที่ยังไม่ได้รับการแพตช์ โดยกลุ่มผู้ไม่หวังดีจะโจมตีผ่านช่องโหว่ CVE-2021-21974 ทำให้เกิด Heap overflow ใน OpenSLP ที่ใช้งานใน ESXi ซึ่งช่องโหว่นี้ได้ออกแพตช์ล่าสุดเมื่อปี 2021 โดยการโจมตีนั้นเกิดขึ้นผ่านพอร์ต 427 โดยปกติแล้วจะถูกปิดเอาไว้ หากโจมตีสำเร็จจะมีการติดตั้งแรนซัมแวร์ลงในเครื่องของผู้ใช้งานและใช้เป็นช่องทางในการโจมตีต่อไป ซึ่ง ESXi ที่ได้รับผลระทบจากช่องโหว่ดังกล่าว ได้แก่
- ESXi เวอร์ชัน 7.x ก่อนหน้า ESXi70U1c-17325551
- ESXi เวอร์ชัน 6.7.x ก่อนหน้า ESXi670-202102401-SG
- ESXi เวอร์ชัน 6.5.x ก่อน ESXi650-202102101-SG
คำแนะนำสำหรับการลดความเสี่ยงจากการโจมตีที่เกี่ยวกับ ESXi
- อัปเดตแพทช์และซอฟต์แวร์ โดยตรวจสอบให้แน่ใจว่ามีการติดตั้งแพทช์ล่าสุดสำหรับ VMware ESXi และซอฟต์แวร์ที่เกี่ยวข้องทั้งหมด
- ตรวจสอบการตั้งค่าความปลอดภัย โดยปรับแต่งการตั้งค่าความปลอดภัยของระบบ ESXi
เพื่อลดความเสี่ยง รวมถึงการปิดการใช้งานบริการหรือพอร์ตที่ไม่จำเป็น - ตรวจสอบการเข้าถึง ตรวจสอบและจำกัดการเข้าถึงพอร์ต 427 ที่เกี่ยวข้องกับช่องโหว่
เพื่อลดความเสี่ยงที่อาจถูกโจมตี - ตรวจสอบ Log ของระบบเพื่อตรวจพบกิจกรรมที่ผิดปกติ และดำเนินการตอบสนอง
- ตรวจสอบระบบการจัดเก็บข้อมูล เพื่อให้มั่นใจว่ามีข้อมูลสำรองที่ทันสมัย
- การแยกเน็ตเวิร์ก พิจารณาการแยกเครือข่ายหรือการให้การเข้าถึงที่จำกัด
เพื่อลดความเสี่ยงของการระบาดในเครือข่าย - การฝึกอบรมและการทราบความเสี่ยง ที่เกี่ยวข้องกับการใช้งานและดูแลรักษาระบบ ESXi
ทั้งนี้ ผู้ใช้งานหรือผู้ดูแลควรตรวจสอบและปฏิบัติตามคำแนะนำข้างต้น เพื่อลดความเสี่ยงจากการโจมตี สามารถติดตามข้อมูลเพิ่มเติมได้ที่ https://www.forescout.com/blog/vmware-esxi-servers-a-major-attack-vector-for-ransomware/
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand