2023年2月3日(現地時間)より、VMware ESXiが稼働するサーバーを標的としたランサムウェア攻撃に関する情報が仏CERT-FRやOVHcloud、BleepingComputerなどから公開されています。同製品の既知のOpenSLPのヒープオーバーフローの脆弱性(CVE-2021-21974)を悪用した攻撃とみられ、攻撃を受けるとファイルが暗号化され身代金の支払いを求めるメッセージが残されます。
日本国内でもインターネットから接続可能な状態で同製品が稼働するホストが確認でき、今後こうした攻撃の被害を受ける可能性があるため、同製品を利用している場合、引き続き関連する情報を注視いただきながら、次のような対応をご検討ください。
推奨対策
- 既知の脆弱性に対する対策や回避策の適用(参考: VMware Security Advisories)
- 稼働するサービスやアクセス制限の見直し(参考: VMware ESXi ハイパーバイザーのセキュリティ強化(8.0系))
- サポート対象のESXiバージョンへのアップデート(参考: VMware Product Lifecycle Matrix)
- SLPサービスを利用していない場合は無効化(参考: How to Disable/Enable the SLP Service on VMware ESXi (76372))
2023年2月6日(現地時間)にはVMwareがブログを公開し、ランサムウェア攻撃に対する対策として既知の脆弱性への対策や回避策の適用、サポートバージョンへの移行、OpenSLPサービスの無効化を推奨しています。最新の情報や状況についてはVMwareが提供する情報もご確認ください。
参考)脆弱性の対象(CVE-2021-21974)
2021年2月23日(現地時間)にVMwareが公開したアドバイザリ(VMSA-2021-0002)によると、ESXi OpenSLPヒープオーバーフローの脆弱性(CVE-2021-21974)の影響を受ける製品およびバージョンは次のとおりです。
- VMware ESXi 7.0系 Update 1cより前のバージョン(ESXi70U1c-17325551パッチ未適用)
- VMware ESXi 6.7系 ESXi670-202102001より前のバージョン(ESXi670-202102401-SGパッチ未適用)
- VMware ESXi 6.5系 ESXi650-202102001より前のバージョン(ESXi650-202102101-SGパッチ未適用)
- VMware Cloud Foundation 4系 4.2より前のバージョンに含まれるESXi
- VMware Cloud Foundation 3系 KB82705未適用のバージョンに含まれるESXi
なお、JPCERT/CCが調査する限り、同脆弱性の対象とは明記されていない6.0系や5.5系のESXiサーバーでも同攻撃の被害を受けており、6.5系より前のサポート対象外のバージョンも本脆弱性の影響を受ける可能性があります。
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2023-02-06 初版
2023-02-07 VMwareのブログに関する情報を「推奨対策」に追記
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp