گزارشات بدست آمده از رخدادهای حملات باجافزاری اخیر نشان میدهد که موج جدیدی از حملات باجافزاری، سرورهای VMware ESXi را هدف قرار دادهاند. بر اساس آمارهای جهانی، تمرکز این حملات بیشتر در کشورهای اروپایی بوده است. اما در روزهای اخیر گزارشاتی از حملات مشابه در کشور نیز دریافت شده است.
بر اساس بررسیهای اولیه صورت گرفته، احتمال اینکه رخدادهای مذکور به باجافزار Nevada و سوءاستفاده از آسیبپذیری CVE-2021-21974 ارتباط داشته باشند زیاد است. ظاهراً این حملات از طریق پورت 427 مربوط به سرویس OpenSLP صورت گرفته و نسخههای ESXi قبل از 7.0.U3i را تحت تاثیر قرار دادهاند. VMware اکیداً توصیه میکند که سرویس OpenSLP را در سرور ESXi غیرفعال نموده و آخرین وصلههای امنیتی را نصب نمایید.
با توجه به اینکه در حال حاضر فایلهای رمزگذاری شده توسط باجافزار Nevada غیرقابل رمزگشایی هستند توصیه میگردد علاوه بر موارد فوق، اقدامات زیر را در اسرع وقت در دستور کار قرار دهید:
1.از قرار دادن مستقیم ESXi و VCenter بر روی بستر اینترنت به شدت پرهیز کنید.
2. از راهکارهای پشتیبانگیری از ماشینهای مجازی استفاده کنید و حتماً نسخههای آفلاین را در مکانهای قابل اطمینان نگهداری کنید.
3.سرویسهای غیرضروری ESXi را غیر فعال کنید. در صورت امکان، دسترسی به ESXi را از طریق ACL به آیپیهای خاص محدود کنید.
- 829