近日,网络上一篇关于 VMware vSphere 被勒索病毒攻击的文章引起了安全人士关注,文章详细介绍了虚拟机被勒索病毒攻击后,出现了大量虚拟机关闭,虚拟机处于关机,并处于无法连接状态,导致用户生产环境停线等严重问题。
据研究人员分析,此次攻击与RansomExx 勒索软件有关,这次的勒索攻击造成 VMware vSphere 部分的虚拟机磁盘文件.vmdk、虚拟机描述文件.vmx 被重命名,手动打开.vmx 文件,发现.vmx 文件被加密。另外 VMware vm-support 日志收集包中,也有了勒索软件生成的说明文件。此次攻击者利用了VMware ESXi 中的两个远程代码执行漏洞 CVE-2019-5544 和 CVE-2020-3992。
CVE-2019-5544漏洞影响范围:
ESXi 6.7
ESXi 6.5
ESXi 6.0
CVE-2020-3992漏洞影响范围:
ESXi 7.0
ESXi 6.7
ESXi 6.5
VMware Cloud Foundation (ESXi) 4.x
VMware Cloud Foundation (ESXi) 3.x
Vmware解决方案
ü 针对CVE-2019-5544漏洞,Vmware官方已经发布了安全补丁,补丁程序下载链接:
ESXi 6.7 Patch Release ESXi670-201912001
https://my.v
https://docs
ESXi 6.5 Patch Release ESXi650-201912001
https://my.v
https://docs
ESXi 6.0 Patch Release ESXi600-201912001
https://my.v
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/esxi600-201912001.html
修复漏洞前请备份资料,参考Vmware通告或者咨询Vmware。Vmware通告链接:
https://www.vmware.com/security/advisories/VMSA-2019-0022.html
ü 针对CVE-2020-3992漏洞,请升级ESXi版本。
受影响版本 | 升级版本 |
ESXi 7.0 | ESXi70U1a-17119627 |
ESXi 6.7 | ESXi670-202011301-SG |
ESXi 6.5 | ESXi650-202011401-SG |
VMware Cloud Foundation (ESXi) 4.x | 4.1.0.1 |
VMware Cloud Foundation (ESXi) 3.x | 3.10.1.2 |
参考链接
https://www.vmware.com/security/advisories/VMSA-2019-0022.html
https://www.