وصله امنیتی نتوانست از هک گسترده سرورهای دارای ESXi جلوگیری کند

دوشنبه ۶ فوریه ۲۰۲۲ (۱۷ شهریور ۱۴۰۱) گزارش شد که حملات سایبری گسترده‌ای در حال آلوده‌کردن سرورهای سراسر جهان با استفاده از نوعی آسیب‌پذیری است که دو سال پیش وصله‌ی امنیتی دریافت کرده بود.

این هک‌های گسترده از آسیب‌پذیری‌ای در هایپروایزر ESXi استفاده می‌کنند. هایپروایزر ESXi شرکت VMware لایه‌ای نرم‌افزاری است که مستقیماً روی سخت‌افزار سرور نصب می‌شود و تمام منابع سیستم را دراختیار خواهد گرفت تا بتواند آن‌ها را بین چندین سیستم‌عامل دیگر تقسیم و هم‌زمان آن‌ها را اجرا کرد. به‌عبارت‌دیگر، هایپروایزر وظیفه‌ی مجازی‌سازی مستقیم روی سخت‌افزار را به‌عهده دارد.

به‌گزارش Arstechnica، بیانیه‌های هشدارآمیزی که اخیراً تیم‌های واکنش اضطراری کامپیوتری (CERT) در فرانسه و ایتالیا و اتریش منتشر کرده‌اند، از کمپین عظیمی خبر می‌دهند که احتمالاً در جمعه آغاز شده و از آن زمان شتاب بیشتری گرفته است. مقام‌های CERT در اتریش با استناد به نتایج جست‌وجو در سرشماری گفتند که تا روز یکشنبه، بیش از ۳٬۲۰۰ سرور آلوده را شناسایی کردند که از این تعداد ۸ سرور در کشور اتریش قرار دارد.

در متن بیانیه‌ی مقام‌های CERT آمده است با‌توجه‌به اینکه سرورهای دارای ESXi تعداد زیادی از سیستم‌ها را به ماشین مجازی تبدیل می‌کنند، مجموع تعداد سیستم‌های آسیب‌دیده چندین برابر خواهد بود.

آسیب‌پذیری که از آن برای آلوده‌کردن سرورهای ESXi استفاده شده، با شناسه‌ی CVE-221-21974 ثبت شده است که از سرریز بافر Heap Based در سرویس OpenSLP ناشی می‌شود. در‌این‌باره حتی در ۸ دسامبر ۲۰۲۲ (۱۷ آذر ۱۴۰۱‌) خبری از باگ امنیتی منتشر شد که درباره‌ی فعال‌بودن سرویس OpenSLP هشدار می‌داد.

در فوریه‌ی ۲۰۲۱ (بهمن ۱۴۰۰)، وقتی VMware وصله‌ی امنیتی برای این آسیب‌پذیری را منتشر کرد، همچنان هشدار داد که ممکن است هکرها بتوانند به‌واسطه‌ی عاملی مخرب با دسترسی به همان بخش شبکه ازطریق پورت ۴۲۷ حملات خود را اجرا کنند. این آسیب‌پذیری سطح هشدار شدت ۸٬۸ از ۱۰ را دریافت کرد و در میان آسیب‌پذیری‌های مهم قرار گرفت. چند ماه بعد نیز، کدهای Proof-of-Concept آن و دستورالعمل به‌کارگیری‌اش دردسترس قرار گرفتند. با‌این‌حال، همچنان تعداد قربانیان بسیار زیاد است.

دلیل تعداد زیاد قربانیان به عوامل خارج از دسترس برمی‌گردد. برای مثال، OVH، شرکت فرانسوی ارائه‌دهنده‌ی سرویس هاست ابری، گفت امکان نصب وصله‌ی امنیتی روی سرورهایی را نداشته است که مشتریانش نصب کرده بودند.

جولیان لِورارد، مدیر ارشد امنیت اطلاعات شرکت OVH، گفت ازآن‌جا‌که سیستم‌عامل ESXi را فقط می‌توان روی سرورهای کامپیوتری فیزیکی نصب کرد، تاکنون چندین راهکار برای شناسایی سرورهای آسیب‌پذیر امتحان کردند تا از آن طریق و براساس گزارش‌های اتوماسیون، بتوانند نصب ESXi به‌دست مشتریانشان را شناسایی کنند؛ اما باتوجه‌به نداشتن دسترسی به سرورهای مشتریان، ابتکار عمل محدودی داشتند.

در همین حال، این شرکت دسترسی به پورت ۴۲۷ را مسدود کرده است تا حین شناسایی سرورهای آسیب‌پذیر به مدیر آن‌ سرورها اطلاع دهد.

گفته می‌شود باج‌افزاری که بعد از هک نصب می‌شود فایل‌های ماشین مجازی با پسوندهای vmdk. و vmx. و vmxf و vmsd. و vmsn. و vswp. و vmss. و nvram. و vmem. را رمزنگاری می‌کنند. سپس، بدافزار تلاش می‌کند تا با اجرای عملیات VMX قفل فایل‌ها را باز کند؛ اما آن‌طورکه توسعه‌دهندگان آن قصد داشتند، کار نکرده است و قفل فایل‌ها باز نشد.

محققان این کمپین حملات سایبری و باج‌افزار آن را ESXiArgs نامیدند؛ زیرا بدافزار پس‌ از رمزگذاری یک سند، فایلی اضافی با پسوند args. ایجاد می‌کند. ظاهراً فایل args. داده‌های مدنظر را برای رمزگشایی داده‌های رمزگذاری‌شده ذخیره می‌کند.

محققان تیم فناوری YoreGroup گزارش دادند که فرایند رمزگذاری ESXiArgs ممکن است اشتباه‌هایی مرتکب شود که به قربانیان فرصت دهد تا داده‌های رمزگذاری‌شده را باز کنند. همچنین، شرکت OVH تأیید کرد که فرایند بازسازی پیشنهادی محققان را آزمایش کرده و در دو‌سوم از موارد موفق به رمزگشایی شده است.

توصیه می‌شود که هرکسی از ESXi استفاده می‌کند، باید فعالیت خود را متوقف و بررسی کند که وصله‌های امنیتی CVE-2021-21974 را نصب کرده است یا خیر و بکاپی از داده‌های خود تهیه کند تا دچار مشکلات پرهزینه نشود.