VMware ESXiの脆弱性を悪用したランサムウェア「ESXiArgs」による攻撃が世界規模で発生しているということです。この攻撃に関してVMwareは、「未知の脆弱性(ゼロディ)が使われていることを示唆する証拠は見つかっていない」との表明を出し、アップグレードやOpenSLPサービスを無効にすることを推奨しています。
ヒープオーバーフローの脆弱性CVE-2021-21974が狙われる
JPCERT/CCのCyberNewsFlashは、JPCERT/CCの早期警戒グループのメンバーが脆弱性やマルウェア、サイバー攻撃などに関する情報を発信している記事になるようです。CyberNewsFlashの2月6日付、7日更新記事によると、2023年2月3日より、VMware ESXiが稼働するサーバーを標的としたランサムウェア攻撃に関する情報がフランスのCERT-FRなどにより公開されたとのことです。そして、この攻撃は、VMware ESXiの既知のOpenSLPのヒープオーバーフローの脆弱性であるCVE-2021-21974を悪用した攻撃とみられ、ファイルが暗号化されて身代金の支払いを求めるメッセージが残されるランサムウェア攻撃だということです。
電子部品関連商社、マグニカ(横浜市)のセキュリティセンターブログによると、2月5日時点でこの攻撃の標的は、フランス、ドイツ、アメリカなど欧米を中心に世界66カ国・地域におよび被害台数はグローバルで3195台、日本国内でも4台確認されているということです。また、身代金の要求額はサーバーごとに微妙に異なるものの約2BTC(約600万円)だということです。マグニカのセキュリティセンターブログの分析よると、ブラジルや中国、タイ、インドなどでは攻撃を受けているESXiのバージョンの台数が多いにもかかわらず大きな被害は認められておらず、一方で世界平均よりも高い割合で攻撃を受けているのはフランス、フィンランド、カナダなどで、これらの国々はいずれもウクライナ支援に積極的であることから、ウクライナ情勢に関連した攻撃の可能性を同ブログは示唆しています。なお、この攻撃は2月3日からはじまり6、7日に新規攻撃はなかったものの9日に再開され、再開後の攻撃ではそれまで被害がなかったブラジルやインド等でも被害が発生しているとの情報もあります。
米CISAとFBIは共同でESXiArgsランサムウェア復旧ガイダンスをリリース、それによると悪意のある攻撃者は既知の脆弱性を悪用してパッチが適用されていない古いバージョンのVMware ESXiサーバーにアクセスしてランサムウェアを展開しており、侵入を受けたサーバーは世界中で3800台を超えているということです。CISAとFBIは、最新バージョンのVMware ESXiソフトウェアに更新すること、SLPサービスを無効にすること、ESXiハイパーバイザーがインターネットに公開されていないことを確認することを推奨するとともに、暗号化されたファイルを回復するためのリカバリスクリプトをリリースし、攻撃を受けた組織に対して利用を呼びかけています。
2020年にはランサムオペレーターの攻撃対象に
JPCERT/CCではこの問題に関して注意喚起ではなくCyberNewsFlashで取り上げており、CyberNewsFlashは「注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれる」とのことですので、日本での深刻度は高くないようにも思われますが、CyberNewsFlashでは「日本国内でもインターネットから接続可能な状態で同製品が稼働するホストが確認でき、今後こうした攻撃の被害を受ける可能性がある」として、ESXiサーバーの利用者に対して既知の脆弱性に対する対策や回避策の適用、稼働するサービスやアクセス制限の見直し、サポート対象のバージョンへのアップデート、SLPサービスを利用していない場合は無効化することを推奨しています。
ESXiサーバーは仮想化のためのハイパーバイザーで、コンピューターにハイパーバイザーをインストールすることで仮想マシンを構築することができます。クラウドストライクによると、2020年の後半にランサムウェア攻撃者のSPRITESPIDERとCARBONSPIDERがESXiサーバーに影響を与えるように特別に設計したLinuxバージョンのランサムウェアを展開、しかし、この時の攻撃ではESXiサーバーに侵入することは出来なかったようです。また、ソフォスは2021年10月にESXiサーバーを暗号化するPythonで書かれたランサムウェアについて報告しており、その中でソフォスは「「ハイパーバイザーへの攻撃は迅速かつ高い破壊力をもっており、DarkSideやREvilなどのランサムウェアのオペレーターもESXiサーバーを攻撃の対象としています」と記しています。
■出典
https://blogs.vmware.com/security/2023/02/83330.html
https://www.jpcert.or.jp/newsflash/2023020601.html
https://security.macnica.co.jp/blog/2023/02/esxiesxiargs.html