VMware ESXi đang trở thành mục tiêu của chiến dịch tấn công ransomware quy mô lớn diễn ra trên toàn thế giới.

Chiến dịch nhắm vào các máy chủ VMware ESXi - công cụ giám sát máy ảo phổ biến dành cho doanh nghiệp, diễn ra từ đầu tháng 2/2023 thông qua lỗ hổng thực thi mã từ xa CVE-2021-21974. Đây là lỗi tràn bộ đệm heap trong dịch vụ OpenSLP. Khai thác thành công, hacker có thể triển khai một phần mềm tống tiền có tên ESXiArgs.

Theo thống kê của Diễn đàn an ninh mạng Việt Nam WhiteHat.vn, truy vết theo IP của một nhóm tấn công, ghi nhận khoảng 1.400 máy chủ VMware ESXi trên thế giới bị mã hóa dữ liệu. Tại Việt Nam, khoảng 10 đơn vị đã trở thành nạn nhân của ransomware ESXiArgs.

Để giảm thiểu nguy cơ bị tấn công, các đơn vị đang sử dụng máy chủ VMware ESXi cần:

- Nhanh chóng rà soát và cập nhật bản vá ngay lập tức.

- Nếu chưa thể cập nhật bản vá, các quản trị viên cần tắt dịch vụ OpenSLP trong ESXI, đồng thời thiết lập chặn IoCs IP trên Firewall:

  104.152.52[.]55

  193.163.125[.]138

  43.130.10[.]173

  104.152.52[.]10/24

-  Hạn chế các dịch vụ không cần thiết của VMware public ra Internet và giới hạn các IP được phép truy cập.

- Định kỳ backup dữ liệu, tách biệt hoàn toàn dữ liệu sao lưu khỏi máy chủ VMware ESXi đang triển khai.

- Nếu không may máy chủ của đơn vị bị mã hóa dữ liệu, hãy bình tĩnh liên hệ với các đơn vị có chuyên môn để xử lý sự cố thay vì gửi tiền chuộc cho tin tặc.

Bkav