اخیرا حملات هکری گسترده ای به سرور های VMware ESXI در حال انجام است که در این حملات ورژن های ذیل در خطر هستند:
7.0 ESXi70U1c-17325551,
6.7 ESXi670-202102401-SG,
6.5 ESXi650-202102101-SG
این باگ امنیتی در سال ۲۰۲۱ پچ شد که میتوانید اطلاعات آن را در لینک زیر مشاهده نمایید:
برخی منابع گزارش کرده اند که در جریان این حملات، مهاجمان از باج افزار Nevada برای رمزگذاری ماشین های مجازی استفاده می کنند.
برای جلوگیری از این حملات چه کار باید کرد؟
1- در مرحله اول باید در مورد پابلیش کردن پورت ها و سرویس ها در اینترنت به شدت حساسیت به خرج دهید
2- در مرحله بعد ESXi ، Vcenter ،Vrealize و باقی مشتقات این پلتفرم را با توجه به نکات امنیتی (بخصوص چک کردن هش فایل دانلودی با فایل اصلی در سایت سازنده) و تنها از منابع معتبر پچ و آپدیت کنید.
3- توصیه اول اعمال Patch میباشد، اما اگر به هر دلیلی امکان اعمال فوری Patch ها را ندارید، موقتاً توسط Firewall دسترسی به پورت 427 را بر روی TCP و UDP که مربوط به سرویس OpenSLP هست محدود نمایید.
برای محدود نمودن پورت 427 نیز میتوانید از دستورات زیر استفاده نمایید:
/etc/init.d/slpd stop
esxcli network firewall ruleset set -r CIMSLP -e 0
chkconfig slpd off
