De acordo com o BSI - Federal Office for Information Security, milhares de servidores que executam a solução de virtualização ESXi da VMware foram infectados com ransomware e muitos também foram criptografados em um ataque global generalizado.
O foco regional dos ataques aos servidores VMware ESXi foi na França, EUA, Alemanha e Canadá - outros países também são afetados. Os criminosos se aproveitaram de uma vulnerabilidade conhecida no serviço OpenSLP do aplicativo, que desencadeou um "estouro de heap" e, finalmente, permitiu que o código fosse executado remotamente. Agora existe uma ferramenta para restaurar servidores criptografados com ransomware ESXiArgs, dependendo da constelação de versões e patches do VMware: o ESXiArgs-Recover-Tool.
2 anos 8.8 alta vulnerabilidade
A própria vulnerabilidade – que está listada como CVE-2021-21974 e classificada como “alta” de acordo com o CVSS com um nível de gravidade de 8.8 – existe um patch do fabricante desde fevereiro de 2021. O BSI já havia apontado a vulnerabilidade crítica na época. De acordo com o BSI, ainda não são possíveis declarações concretas sobre o impacto e a extensão dos possíveis danos. O BSI está analisando intensamente este incidente de segurança de TI e está em contato com seus parceiros internacionais.
As empresas italianas, em particular, foram duramente atingidas pelo ataque no fim de semana. Segundo vários meios de comunicação, a Telekom Italia TIM também deve ser afetada pelo ataque. Em alguns casos, o desempenho da internet em todo o país teria entrado em colapso por um curto período de tempo. Mas outros países e muitas empresas continuam tendo problemas. Já em 2021, havia explorações procurando a lacuna nos servidores ESXi e executando malware.
Já são mais de 1.900 servidores ESXi infectados
A atualização chega tarde demais para muitos administradores, pois seus servidores VMware ESXi já estão criptografados por ransomware. As empresas que ainda têm essa vulnerabilidade e ainda não foram descobertas devem corrigir os servidores imediatamente. Segundo a Check Point, mais de 1.900 servidores ESXi já foram infectados, com a maioria das vítimas supostamente provenientes dos provedores de serviços da OVH e da Hetzner. Também CERT, a autoridade francesa de segurança cibernética, já emitiu um alerta a todas as empresas e operadoras de servidores. As instruções de segurança para corrigir a vulnerabilidade e a descrição dos sistemas vulneráveis estão disponíveis na VMware
Saiba mais sobre a atualização do servidor em VMware.com