ESXi主机CVE-2021-21972漏洞复现安全处置建议

news2024/11/18 1:27:01

一、漏洞简介

vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。

vSphere Client(HTML5) 在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,写入webshell,控制服务器。

就是VMware套件有个Web管理界面,漏洞在一个未授权的上传接口,写入shell并执行命令。

二、影响范围

  VMware vCenter Server 7.0系列 < 7.0.U1c
  VMware vCenter Server 6.7系列 < 6.7.U3l
  VMware vCenter Server 6.5系列 < 6.5 U3n
  VMware ESXi 7.0系列 < ESXi70U1c-17325551
  VMware ESXi 6.7系列 < ESXi670-202102401-SG
  VMware ESXi 6.5系列 < ESXi650-202102101-SG

RedAlert勒索病毒又称为N13V勒索病毒,是2022年一款新型勒索病毒,同年7月被首次曝光,主要针对Windows和Linux VMWare ESXi服务器进行加密攻击,到目前为止该勒索病毒黑客组织在其暗网网站上公布了一名受害者,同时该名受害者在其官网上也发布了被黑客攻击的信息,该名受害者企业正在与网络犯罪领域的专家进行取证和溯源工作,并发布了相关的公告。

“勒索病毒”一览

勒索病毒是一种恶意程序,专门将本机与网路储存上的重要档案加密之后要求支付赎金才能解开档案。整体来讲,勒索病毒攻击分为六个阶段——初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索

勒索病毒难以根除的主要原因:一方面是,勒索病毒传播方式多样,传统网络安全防护技术无法完全覆盖;另一方面是,安全存储技术体系要求不够完善,数据存储层勒索防护措施应用不足。且随着网络安全体系的不断完善,勒索病毒也日益呈现出新特点:攻击对象日趋精准化、攻击主体日益专业化、攻击模式趋于多样化。

危机应对

随着整体数据规模持续增长,面对日益猖狂的勒索病毒,各国各地区纷纷做出应对。我国国家互联网应急中心出台的《勒索软件防范指南》,从分类分级、密码设置等方面作出指导,提出了“要备份重要数据和系统。重要的文件、数据和业务系统要定期进行备份,并采取隔离措施,严格限制对备份设备和备份数据的访问权限,防止勒索软件横移对备份数据进行加密”的方向性要求。

作为抵御勒索病毒的最后一道防线,科学可靠的数据备份与业务系统容灾可以帮企业将可能会面临的风险系数降至最低,使其业务在遭到勒索软件攻击后能够迅速恢复,确保的数据可用性和业务连续性。

针对此次ESXi Args勒索事件,为广大用户提供了行之有效的VMware虚拟机备份解决方案,最大程度上保证用户数据安全运行。

1、 LAN-Free提升备份效率

备份软件在备份VMware时,不仅支持LAN-Based的备份数据传输链路,还提供包括搭建备份网络、通过SAN传输备份数据的LAN-Free模式,不会占用生产带宽与网络,备份速度更快,备份效率更高,且不会影响生产环境的正常运行。

常规加固:

1.默认情况下,ESXi Shell 接口和 SSH 接口处于停用状态。除非要执行故障排除或支持活动,否则这些接口应保持停用状态。对于日常活动,
请使用 vSphere Client或vcenter管控,使操作受制于基于角色的访问控制权限。
2.默认情况下,只有ESXI主机内部分防火墙端口处于打开状态,需明确打开与特定服务关联的防火墙端口作用。。
3.ESXi 仅运行管理其功或服务,要求只分发仅限于运行 ESXi 所需的功能。
4.默认情况下,弱密码是被停用,来自客户端的通信将通过 SSL 进行保护。用于保护通道安全的确切算法取决于 SSL 握手。
在 ESXi 上创建的默认证书会使用带有 RSA 加密的 PKCS#1 SHA-256 作为签名算法。ESXi 使用内部 Web 服务支持通过 Web Client 进行访问。
该服务已修改为只运行 Web Client 进行系统管理和监控所需的功能。
5、条件允许话请尽快对ESXI各版本补丁修复,因ESXI所涉及虚拟化主机较多,业务用途各异,修补过程中需重起设备。
6.所有ESXI主机不允许直接暴露到互联网上,理论上禁止接入互联网。

中招什么办:

攻击者加密后,会导致关键数据被损坏,虚拟机 (VM)处于关闭、无法连接状态,可能造成用户生产环境停线的严重后果;除了面临部分业务被中断,被攻击者还面临着2比特币左右的勒索赎金,给正常工作带来了极为严重的影响。

风险排查、紧急加固及处置建议

勒索风险自查

步骤一:检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在,建议立即删除该文件。 

步骤二:检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,应及时删除。 

勒索处置建议

步骤一:立即隔离受感染的服务器,进行断网; 

步骤二:使用数据恢复工具恢复数据或重装ESXi 

美国CISA发布了 ESXiArgs 勒索软件恢复脚本,相关链接如下:

https://github.com/cisagov/ESXiArgs-Recover

步骤三:重复“勒索风险自查”步骤; 

步骤四:恢复修改后的部分文件 

(1)查看/usr/lib/vmware目录下的index.html文件是否为勒索信,如果是,立即删除该文件。

(2)查看/etc/目录下是否存在motd文件,如果存在,立即删除。

漏洞自查

(1)查看ESXi的版本

方式1:登陆EXSi后台,点击帮助-关于,即可获取版本号。 

74233f3735dc46c699c1d8f564bf9b05.png

方式2:访问EXSi终端,输入“vmware -vl”命令即可获取版本号。 

(2)查看OpenSLP服务是否开启

访问EXSi终端,输入“chkconfig --list | grep slpd”命令即可查看OpenSLP服务是否开启。输出“slpd on”为开启,输出“slpd off”则代表未开启。

若ESXi版本在漏洞影响范围内,且OpenSLP服务开启,则可能受此漏洞影响。

漏洞加固

加固方案1:升级ESXi至如下版本

加固方案2:在ESXi中禁用OpenSLP服务

禁用OpenSLP属于临时解决方案,该临时解决方案存在一定风险,建议用户可根据业务系统特性审慎选择采用临时解决方案:

1、使用以下命令在ESXi 主机上停止SLP 服务: 

/etc/init.d/slpd stop 

2、运行以下命令以禁用SLP 服务且重启系统 后生效:

esxcli network firewall ruleset set -r CIMSLP -e 0

chkconfig slpd off 

3、运行此命令检查禁用SLP 服务成功: 

chkconfig --list | grep slpd 

若输出slpd off 则禁用成功 

停止SLP服务后,运行攻击脚本发现427端口已经关闭,漏洞无法进行利用。

b071830a9a7a4883872fdc7aa19b3eed.png

 

 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/354359.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【博客624】MAC地址表、ARP表、路由表(RIB表)、转发表(FIB表)

MAC地址表、ARP表、路由表(RIB表/FIB表) MAC地址表 MAC地址表是交换机等网络设备记录MAC地址和端口的映射关系&#xff0c;代表了交换机从哪个端口学习到了某个MAC地址&#xff0c;交换机把这个信息记录下来&#xff0c;后续交换机需要转发数据的时候就可以根据报文的目的MAC地…

SpringBoot社区版专业版带你配置热部署

&#x1f49f;&#x1f49f;前言 ​ 友友们大家好&#xff0c;我是你们的小王同学&#x1f617;&#x1f617; 今天给大家打来的是 SpringBoot社区版专业版带你配置热部署 希望能给大家带来有用的知识 觉得小王写的不错的话麻烦动动小手 点赞&#x1f44d; 收藏⭐ 评论&#x1…

C++类基础(十七)

类的继承——补充知识 ● public 与 private 继承&#xff08;C Public, Protected and Private Inheritance&#xff09; 改变了类所继承的成员的访问权限 //公有继承 struct Base { public:int x; private:int y; protected:int z; }; struct Derive : public Base //公有继承…

【数据结构与算法】时间复杂度与空间复杂度

目录 一.前言 二.时间复杂度 1.概念 二.大O的渐进表示法 概念&#xff1a; 总结&#xff1a; 三.常见时间复杂度计算举例 例1 例2 例3 例4 例5.计算冒泡排序的时间复杂度 例6.二分算法的时间复杂度 例7.阶乘递归Fac的时间复杂度 例8.斐波那契递归的时间复杂度 …

【MyBatis】| MyBatis的注解式开发

目录 一&#xff1a;MyBatis的注解式开发 1. Insert注解 2. Delete注解 3. Update注解 4. Select注解 5. Results注解 一&#xff1a;MyBatis的注解式开发 MyBatis中也提供了注解式开发⽅式&#xff0c;采⽤注解可以减少Sql映射⽂件的配置。 当然&#xff0c;使⽤注…

推荐几款好用的数据库管理工具

本文主要介绍几款常用的数据库管理软件&#xff08;客户端&#xff09;&#xff0c;包括开源/免费的、商用收费的&#xff0c;其中有一些是专用于 MySQL 数据库的&#xff0c;例如 MySQL Workbench、phpMyAdmin&#xff0c;有一些是支持多种 SQL、NoSQL 数据库的&#xff0c;例…

Kubernetes集群维护—备份恢复与升级

Etcd数据库备份与恢复 需要先安装etcd备份工具yum install etcd -y按不同安装方式执行不同备份与恢复kubeadm部署方式&#xff1a; 备份&#xff1a;ETCDCTL_API3 etcdctl snapshot save snap.db --endpointshttps://127.0.0.1:2379 --cacert/etc/kubernetes/pki/etcd/ca.cr…

知其然更要知其所以然,聊聊SQLite软件架构

SQLite是一个非常受欢迎的数据库&#xff0c;在数据库排行榜中已经进入前十的行列。这主要是因为该数据库非常小巧&#xff0c;而且可以支持Linux、Windows、iOS和Andriod的主流的操作系统。 SQLite非常简单&#xff0c;是一个进程内的动态库数据库。其最大的特点是可以支持不同…

spring的了解以及项目构建

spring理念&#xff1a; 使现有的技术更容易使用&#xff0c;其本身是一个大杂烩&#xff0c;整合了现有的技术框架。 ssh&#xff1a; struct2 spring hibernate ssm &#xff1a;springmvc spring mybatis 优点&#xff1a; spring 是一个免费的开源框架&#xff08;容器…

特征归一化(Normalization)和Batch Normalization的理解

一、理解BN必备的前置知识&#xff08;BN, LN等一系列Normalization方法的动机&#xff09; Feature Scaling&#xff08;特征归一化/Normalization&#xff09;:通俗易懂理解特征归一化对梯度下降算法的重要性 总结一下得出的结论&#xff1a; &#xff08;以下举的例子是针对…

创建基于Vue2.0开发项目的两种方式

前天开始接触基于Vue2.0的前端项目&#xff0c;实际操作中肯定会遇到一些问题&#xff0c;慢慢摸索和总结。   其实&#xff0c;作为开发一般企事业单位应用的小项目&#xff0c;前端的懂一点HTMLCSSJavaScroptJQueryJson&#xff08;或者Xml&#xff09;&#xff0c;后端懂一…

PGLBox全面解决图训练速度、成本、稳定性、复杂算法四大问题!

图神经网络&#xff08;Graph Neural Network&#xff0c;GNN&#xff09;是近年来出现的一种利用深度学习直接对图结构数据进行学习的方法&#xff0c;通过在图中的节点和边上制定聚合的策略&#xff0c;GNN能够学习到图结构数据中节点以及边内在规律和更加深层次的语义特征。…

Dubbo学习笔记2

Dubbo学习笔记&#xff08;二&#xff09; Dubbo常用配置 覆盖策略 规则&#xff1a; 1、精确优先&#xff08;方法级优先&#xff0c;接口次之&#xff0c;全局配置再次之&#xff09; 2、消费者设置优先&#xff08;如果级别一样&#xff0c;则消费方优先&#xff0c;提供…

网络安全-信息收集- 谷歌浏览器插件收集信息,谷歌hacking搜索语法-带你玩不一样的搜索引擎

网络安全-信息收集- 谷歌浏览器插件收集信息&#xff0c;谷歌hacking搜索语法-带你玩不一样的搜索引擎 前言 一&#xff0c;我也是初学者记录的笔记 二&#xff0c;可能有错误的地方&#xff0c;请谨慎 三&#xff0c;欢迎各路大神指教 四&#xff0c;任何文章仅作为学习使用 …

图解LeetCode——剑指 Offer 28. 对称的二叉树

一、题目 请实现一个函数&#xff0c;用来判断一棵二叉树是不是对称的。如果一棵二叉树和它的镜像一样&#xff0c;那么它是对称的。 二、示例 2.1> 示例 1&#xff1a; 【输入】root [1,2,2,3,4,4,3] 【输出】true 2.2> 示例 2&#xff1a; 【输入】root [1,2,2,nul…

quartz使用及原理解析

quartz简介 ​ Quartz是OpenSymphony开源组织在Job scheduling领域又一个开源项目&#xff0c;完全由Java开发&#xff0c;可以用来执行定时任务&#xff0c;类似于java.util.Timer。但是相较于Timer&#xff0c; Quartz增加了很多功能&#xff1a; 持久性作业 - 就是保持调度…

瑞典军事研究:从认知心理学的视角探讨军事创新进程

来源&#xff1a;Military Innovation as the Result of Mental Models of Technology 《摘要》 政治紧张局势的加剧和技术发展的进步促使Scandinavian 国家&#xff08;斯堪的纳维亚半岛&#xff0c;欧洲最大的半岛&#xff0c;有挪威、瑞典两国以及芬兰北端的一小部分。&am…

SpringBoot3集成TDengine自适应裂变存储

前言 首先很遗憾的告诉大家&#xff0c;今天这篇分享要关注才可以看了。原因是穷啊&#xff0c;现在基本都是要人民币玩家了&#xff0c;就比如chatGPT、copilot&#xff0c;这些AI虽然都是可以很好的辅助编码&#xff0c;但是都是要钱。入驻CSDN有些年头了&#xff0c;中间有几…

Python没有指针怎么实现链表?

Python没有指针怎么实现链表&#xff1f; 学习数据结构的的链表和树时&#xff0c;会遇到节点&#xff08;node&#xff09;这个词&#xff0c;节点是处理数据结构的链表和树的基础。节点是一种数据元素&#xff0c;包括两个部分&#xff1a;一个是实际需要用到的数据&#xff…

考研复试机试 | C++ | 尽量不要用python,很多学校不支持

目录1.1打印日期 &#xff08;清华大学上机题&#xff09;题目&#xff1a;代码&#xff1a;1.2改一改&#xff1a;上一题反过来问题代码&#xff1a;2.Day of Week &#xff08;上交&&清华机试题&#xff09;题目&#xff1a;代码&#xff1a;3.剩下的树&#xff08;清…