Italy warns hackers targeting known server vulnerability - reuters

意大利警告有黑客利用已知服务器漏洞进行攻击

罗马 - 意大利国家网络安全局（ACN）周日表示，全球数千台计算机服务器已成为针对VMware ESXi服务器的勒索软件黑客攻击的目标，警告组织采取行动保护其系统。

ACN总干事Roberto Baldoni告诉路透社，黑客攻击试图利用软件漏洞，并补充说这是大规模的。

VMware的一位发言人表示，该公司知道这些事件，并已针对2021年被利用的两年前的漏洞发布了补丁，并敦促其客户在尚未应用补丁的情况下应用该补丁。

有受害者还在被锁定的系统上发现了名为“ransom.html”和“How to Restore Your Files.html”的赎金票据。

当服务器被破坏时，以下文件存储在 /tmp 文件夹中：

encrypt - 加密器 ELF 可执行文件。

encrypt.sh - 作为攻击逻辑的 shell 脚本，在执行加密器之前执行各种任务，如下所述。

public.pem - 用于加密加密文件的密钥的公共 RSA 密钥。

motd - 文本形式的赎金票据，将被复制到 /etc/motd，以便在登录时显示。服务器的原始文件将被复制到 /etc/motd1。

index.html - HTML 格式的赎金票据，将取代 VMware ESXi 的主页。服务器的原始文件将被复制到同一文件夹中的 index1.html。

该安全漏洞编号为 CVE-2021-21974，由 OpenSLP 服务中的堆溢出问题引起，未经身份验证的威胁参与者可以利用该问题进行低复杂度攻击。

CVE-2021-21974 影响以下系统：

ESXi70U1c-17325551 之前的 ESXi 版本 7.x

ESXi670-202102401-SG 之前的 ESXi 版本 6.7.x

ESXi650-202102101-SG 之前的 ESXi 版本 6.5.x

该漏洞在 VMware 官方的公告描述为 OpenSLP 堆溢出漏洞，可能导致任意代码的执行。已在 2021 年 2 月 23 日已经提供了安全补丁。

建议用户升级到最新版本的 VMware ESXi 以降低潜在威胁，并将对 OpenSLP 服务的访问限制为受信任的 IP 地址。

意大利ANSA通讯社援引ACN报道说，法国和芬兰以及美国和加拿大等其他欧洲国家的服务器遭到入侵。

数十个意大利组织可能已经受到影响，更多的组织被黑客警告必须采取指定行动，以避免被锁定在他们自己的系统之外。

意大利电信的客户周日早些时候报告了互联网问题，但据信这两个问题并不相关。

美国网络安全官员表示，他们正在评估所报告事件的影响。

“CISA正在与公共和私营部门合作伙伴合作，评估这些报告事件的影响，并在需要时提供援助，”美国网络安全和基础设施安全局表示。