大工网安告[2023]007

一、情况分析

近期一款针对VMware ESXi服务器的新型勒索软件”ESXiArgs”正在全球范围内实施攻击活动。攻击者利用2021年的远程代码执行漏洞CVE-2021-21974向VMware ESXi服务器进行攻击，从而投放勒索软件。目前美国网络安全和基础设施安全局（CISA）提供了恢复脚本，受影响用户可以尝试借此恢复数据。

二、影响范围

ESXi70U1c-17325551之前的ESXi 7.x版本

ESXi670-202102401-SG之前的ESXi 6.7.x版本

ESXi650-202102101-SG之前的ESXi 6.5.x版本

以上为官方公告受影响的漏洞版本情况，但据网络空间测绘平台的数据统计，6.0和5.5版本也遭受了勒索软件攻击。

三、处置建议

升级补丁

排查当前ESXi版本是否是受影响版本

漏洞排查：

方式1：登陆EXSi后台，点击帮助-关于，即可获取版本号

方式2：登陆EXSi终端，执行“vmware -vl”命令获取版本号

修复方式：

升级官方补丁，对存在漏洞的VMware ESXi进行升级。

漏洞通告：https://www.vmware.com/security/advisories/VMSA-2021-0002.html

补丁下载：https://customerconnect.vmware.com/patch

补丁信息及升级方式：https://docs.vmware.com/en/VMware-vSphere/6.7/rn/esxi670-202102001.html

禁用OpenSLP服务

1.登录ESXi，启用安全Shell

2.使用ESXi的账号密码登陆ESXi命令行

3.查看SLP服务状态

/etc/init.d/slpd status，如果命令执行结果显示slpd is running，表示该服务正常运行中

4.停止SLP服务

/etc/init.d/slpd stop

5.禁用SLP服务

esxcli network firewall ruleset set -r CIMSLP -e 0

执行以下命令关闭自启动

chkconfig slpd off

6.查看SLP是否自启动

chkconfig --list | grep slpd，输出“slpd on”为开启，输出“slpd off”则代表未开启。

注：及时备份重要数据,非必要不将ESXi的端口映射到公网。