VMware ESXiを狙ったランサムウェア攻撃が全世界で展開中 即時対策を
VMware ESXiの脆弱性を悪用したランサムウェア攻撃キャンペーンが確認された。全世界で約3200台のサーバが影響を受けており、攻撃を受けるとデータを暗号化される危険性がある。
フランスのサイバーセキュリティ当局CERT-FR(Centre gouvernemental de veille, d’alerte et de reponse aux attaques informatiques)は2023年2月3日(現地時間)、ハイパーバイザー「VMware ESXi」の脆弱(ぜいじゃく)性を利用したサイバー攻撃キャンペーンが全世界で展開されているとし、アラートを出した。
Censysの調査によれば、全世界で約3200台のVMware ESXiが同サイバー攻撃キャンペーンで侵害を受けているという。
全世界でサイバー攻撃が展開 影響を受けるVMware ESXiのバージョンは?
同攻撃キャンペーンは通称「ESXiArgs」と呼ばれており、VMware ESXiで2年前に見つかったOpenSLPのヒープオーバーフローの脆弱(CVE-2021-21974)性を悪用する。これを悪用された場合、リモートから任意のコード実行が可能になる。
攻撃を受けるとランサムウェアによってデータが暗号化される危険があるため、VMware ESXiを迅速にアップデートするか回避策を適用することが呼び掛けられている。
JPCERTコーディネーションセンター(JPCERT/CC)によると、以下の製品とバージョンが影響を受ける。
- VMware ESXi70U1c-17325551より前のバージョン7.x系
- VMware ESXi670-202102401-SGより前のバージョン6.7.x系
- VMware ESXi650-202102101-SGより前のバージョン6.5.x系
- VMware Cloud Foundation 4系 4.2より前のバージョン
- VMware Cloud Foundation 3系 KB82705未適用のバージョン
JPCERT/CCは「同脆弱性の対象とは明記されていない6.0系や5.5系のESXiサーバでも同攻撃の被害を受けており、6.5系より前のサポート対象外のバージョンも本脆弱性の影響を受ける可能性がある」と指摘している。
VMwareはCVE-2021-21974を修正したVMware ESXiのバージョンを公開済みだ。古いバージョンのまま脆弱性の修正を適用していないのであれば、セキュリティアドバイザリに従って直ちにアップデートを適用することが推奨される。アップデートが未適用の場合、既にサイバー攻撃を受けてコードの削除などが実行された可能性もあるため、システムスキャンを実施して侵害の兆候を調査しておきたい。
VMwareは同社のブログで、対象となっている脆弱性の回避策を提案している。アップデートが困難な場合はブログの説明に従ってSLPサービスを無効化し一時的に回避策を取ることも検討してほしい。
関連記事
- VMware Workspace ONE AssistにCVSSv3スコア9.8の脆弱性 直ちに対策を
VMwareのリモートサポートソリューション「VMware Workspace ONE Assist」にCVSSv3スコア9.8に該当する複数の脆弱性が見つかった。これらを悪用されると影響を受けたシステムの制御権を乗っ取られる可能性があるため注意してほしい。 - VMware Cloud FoundationにCVSS v3スコア9.8の脆弱性 迅速にアップデートを
VMware Cloud Foundationに「緊急」の脆弱性が存在することが報告された。同脆弱性を悪用されるとシステムの制御権が乗っ取られる危険性があるとされ、注意が必要だ。迅速なアップデートの適用が求められる。 - VMware ESXi 6.5および6.7の一般サポートが終了 合計57.79%がサポート切れのまま
VMware ESXi 6.5およびVMware ESXi 6.7の一般サポートが2022年10月15日に終了した。延長サポートを購入すれば、追加2年間の2024年10月15日までサポートを得られる。 - 「VMware ESXi」に永続的にアクセスするマルウェアを確認 緩和策の適用を
「VMware vSphere」を標的とした新しいマルウェアの亜種が発見された。悪用されると、VMware ESXiへの永続的なアクセスを確立されるので注意が必要だ。VMwareが公開した情報を確認し、緩和策の適用を検討してほしい。
関連リンク
- VMSA-2021-0002
- CVE Record | CVE
- How to Disable/Enable the SLP Service on VMware ESXi (76372)
- New Wave of Ransomware Attacks Exploiting VMware Bug to Target ESXi Servers
- Massive ESXiArgs ransomware attack targets VMware ESXi servers worldwide
- Campagne d’exploitation d’une vulnerabilite affectant VMware ESXi - CERT-FR
- VMware ESXiを標的としたランサムウェア攻撃について
Copyright © ITmedia, Inc. All Rights Reserved.