VMware ESXi 취약점 패치 필수! 최근 랜섬웨어 유포에 악용 외 2건

요약	- VMware ESXi OpenSLP에서 발생하는 원격코드 실행 취약점이 랜섬웨어 유포에 악용
내용	- 최근 VMware ESXi 취약점을 악용해 랜섬웨어가 유포 > KISA은 VMware ESXi의 취약한 버전을 사용하는 사용자는 최신 버전으로 업데이트할 것을 긴급히 권고 > VMware ESXi의 OpenSLP에서 발생하는 원격코드 실행 취약점(CVE-2021-21974)을 악용_해당 취약점은 이미 2년 전에 VM웨어가 패치 ※ 영향받는 버전 ① 6.5(ESXi650-202102101-SG 이전 버전) ② 6.7(ESXi670-202102401-SG 이전 버전) ③ 7.0(ESXi70U1c-17325551 이전 버전) ※ 패치 버전 ① 6.5 : ESXi650-202102101-SG 이후 버전 ② 6.7 : ESXi670-202102401-SG 이후 버전 ③ 7.0 : ESXi70U1c-17325551 이후 버전 - 해당 맬웨어가 이 복구 절차를 무력화하도록 진화 > 해당 랜섬웨어가 타깃으로 삼는 구성 파일의 더 많은 비율을 암호화
기타	- 미국의 사이버 보안 전담 기관인 CISA가 ESXi악스(ESXiArgs) 랜섬웨어의 복호화 도구 ESXiArgs-Recover를 배포하기 시작 > 이미 이를 활용해 복호화에 성공한 사례들이 늘어나는 중 - 복구 스크립트를 사용하기 전에 철저히 검토 필요 > 스크립트는 암호화 된 설정 파일을 삭제하는 게 아니라 새로운 설정 파일을 생성함으로써 가상기계들로 접근할 수 있게 해 주는 기능을 가지고 있기 때문 - CISA 권고 > 스크립트를 실행한 후 즉시 서버를 최신 버전으로 업데이트하고 > ESXiArgs 공격자가 가상머신을 손상시키는 데 사용한 SLP(Service Location Protocol) 서비스를 비활성화 > 시스템을 다시 초기화하기 전에 ESXi 하이퍼바이저를 공용 인터넷에서 차단 - 추가 공격을 방지하기 위한 CISA와 FBI의 권고 > 정기적인 오프라인 백업 유지 > 알려진 맬웨어 벡터(예: SMB 네트워크 프로토콜 초기 버전 등) 제한 > 높은 수준의 내부 보안 등

 

보안뉴스

VMware ESXi 취약점 패치 필수! 최근 랜섬웨어 유포에 악용

미국 CISA, ESXi 랜섬웨어 피해자들에게 무료 복호화 도구 제공

“VM웨어 ESXi 서버 랜섬웨어, 복구 스크립트 무력화하는 버전 나왔다”

엑시악스 랜섬웨어 복구 도구 나오자마자 변종이 새롭게 등장

 

블로그

VMware ESXi OpenSLP 힙 오버플로를 통한 RCE (CVE-2021-21974)