Ransomware บน VMWare ESXi กลับมาระบาดอีกครั้ง พร้อมเข้ารหัสลับไฟล์ข้อมูลบน Datastore

ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks.jpg

อ้างอิง https://www.zdnet.com/

เมื่อไม่กี่วันที่ผ่านมาได้มีการระบาดของ Ransomware ที่ถูกผู้ไม่ประสงค์ดีใช้ประโยชน์บน VMWare ESXi และมีการพูดถึงบนกลุ่ม Facebook : thaiadmin.org เพื่อควบคุม virtual machines และทำการเข้ารหัส virtual hard drives.

ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks-2.png

อ้างอิง https://old.reddit.com/

โดยการโจมตีนี้พบครั้งแรกเมื่อ เดือนตุลาคม  2563 เชื่อมโยงกับการบุกรุกที่ดำเนินการโดยกลุ่มผู้ไม่ประสงค์ดี RansomExx ซึ่งผู้ไม่ประสงค์ดีอาศัยช่องโหว่หมายเลข CVE-2019-544 และ CVE-2020-3992 ที่เป็นช่องโหว่ 2 จุดบน VMWare ESXi ซึ่งเป็น Hypervisor ที่อณุญาติให้ Virtual Machines หลายเครื่องแชร์ข้อมูลที่เก็บ Hard Drives  เดียวกันได้

 

โดยข้อบกพร่องทั้ง 2 จุดบน VMWare ESXi จะส่งผลกระทบต่อ Service Location Protocol (SLP) ซึ่งเป็นโปรโตคอลที่ใช้ในการค้นหาอุปกรณ์ต่างๆภายในเครือข่ายเดียวกัน ที่รวมอยู่ใน VMWare ESXi ดังนั้นช่องโหว่ดังกล่าวทำให้ผู้ไม่ประสงค์ดีสามารถส่งคำร้องขอ SLP ที่เป็นอันตรายไปยังอุปกรณ์ VMWare ESXi และควบคุมการทำงานของระบบได้สำเร็จ

 

ผลิดภัณฑ์ที่ได้รับผลกระทบ

  • VMware ESXi

  • VMware Workstation Pro / Player (Workstation)

  • VMware Fusion Pro / Fusion (Fusion)

  • NSX-T

  • VMware Cloud Foundation

  • VMware vCenter Server

 

แนวทางการป้องกัน

  • ดำเนินการ Update Patch ให้เป็นเวอร์ชันปัจจุบันหรือเวอร์ชันที่ได้รับการสนับสนุนจากเจ้าของผลิตภัณฑ์

  • ดำเนินการปิดหรือควบคุมการเข้าถึงหน้า Management ของ VMWare ESXi จากหมายเลข IP จริง หรือ Public IP

  • ดำเนินการปิดบัญชีผู้ใช้งานที่มีสิทธ์สูงสุด (Root)

  • ดำเนินการเชื่อมต่อเครือข่าย VPN ก่อนเข้าสู้หน้า Management ของ VMWare ESXi

  • ดำเนินการ Backup ข้อมูลใน Virtual Hard Drive ของ VMWare ESXi

  • ดำเนินการสแกนหาช่องโหว่บน VMWare ESXi เป็นประจำอย่างสม่ำเสมอ

  • ดำเนินการ Migrate VMWare ESXi ไปที่เครื่องแม่ข่ายอื่นๆ [1]

  • ดำเนินการ Migrate VMWare ESXi ไปที่เครื่อง ESXi [2] อื่นๆ

  • ดำเนินการ Migrate VMWare ESXi ไปที่ datastore [3] อื่นๆ

  • ดำเนินการ Migrate VMWare ESXi ไปที่ proxmox [4] อื่นๆ

  • ดำเนินการ Enable Syslog to SIEM [5]

Download

อัพโหลดให้ผ่าน Google Drive

โหลดจากผู้ให้บริการให้ลงทะเบียน VMWare Custom Connect
https://customerconnect.vmware.com/account-registration


หลังจากยืนยัน Email เรียบร้อยให้ทำการ Login

https://customerconnect.vmware.com/login

แล้วไปที่ Products and Accounts > Product Patches

ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks-3.png

เลือก ESXi (Embedded and Installable) ตามด้วยเวอร์ชั่นที่ต้องการค้นหา

ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks-4.png

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 31 สิงหาคม 2564