Ransomware บน VMWare ESXi กลับมาระบาดอีกครั้ง พร้อมเข้ารหัสลับไฟล์ข้อมูลบน Datastore

Ransomware VMWare ESXI

เมื่อไม่กี่วันที่ผ่านมาได้มีการระบาดของ Ransomware ที่ถูกผู้ไม่ประสงค์ดีใช้ประโยชน์บน VMWare ESXi และมีการพูดถึงบนกลุ่ม Facebook : thaiadmin.org เพื่อควบคุม virtual machines และทำการเข้ารหัส virtual hard drives.

อ้างอิง https://old.reddit.com/

โดยการโจมตีนี้พบครั้งแรกเมื่อ เดือนตุลาคม  2563 เชื่อมโยงกับการบุกรุกที่ดำเนินการโดยกลุ่มผู้ไม่ประสงค์ดี RansomExx ซึ่งผู้ไม่ประสงค์ดีอาศัยช่องโหว่หมายเลข CVE-2019-544 และ CVE-2020-3992 ที่เป็นช่องโหว่ 2 จุดบน VMWare ESXi ซึ่งเป็น Hypervisor ที่อณุญาติให้ Virtual Machines หลายเครื่องแชร์ข้อมูลที่เก็บ Hard Drives  เดียวกันได้
 
โดยข้อบกพร่องทั้ง 2 จุดบน VMWare ESXi จะส่งผลกระทบต่อ Service Location Protocol (SLP) ซึ่งเป็นโปรโตคอลที่ใช้ในการค้นหาอุปกรณ์ต่างๆภายในเครือข่ายเดียวกัน ที่รวมอยู่ใน VMWare ESXi ดังนั้นช่องโหว่ดังกล่าวทำให้ผู้ไม่ประสงค์ดีสามารถส่งคำร้องขอ SLP ที่เป็นอันตรายไปยังอุปกรณ์ VMWare ESXi และควบคุมการทำงานของระบบได้สำเร็จ
 
ลิดภัณฑ์ที่ได้รับผลกระทบ
• VMware ESXi
• VMware Workstation Pro / Player (Workstation)
• VMware Fusion Pro / Fusion (Fusion)
• NSX-T
• VMware Cloud Foundation
• VMware vCenter Server
 
แนวทางการป้องกัน
• ดำเนินการ Update Patch ให้เป็นเวอร์ชันปัจจุบันหรือเวอร์ชันที่ได้รับการสนับสนุนจากเจ้าของผลิตภัณฑ์
• ดำเนินการปิดหรือควบคุมการเข้าถึงหน้า Management ของ VMWare ESXi จากหมายเลข IP จริง หรือ Public IP
• ดำเนินการปิดบัญชีผู้ใช้งานที่มีสิทธ์สูงสุด (Root)
• ดำเนินการเชื่อมต่อเครือข่าย VPN ก่อนเข้าสู้หน้า Management ของ VMWare ESXi
• ดำเนินการ Backup ข้อมูลใน Virtual Hard Drive ของ VMWare ESXi
• ดำเนินการสแกนหาช่องโหว่บน VMWare ESXi เป็นประจำอย่างสม่ำเสมอ
• ดำเนินการ Migrate VMWare ESXi ไปที่เครื่องแม่ข่ายอื่นๆ [1]
• ดำเนินการ Migrate VMWare ESXi ไปที่เครื่อง ESXi [2] อื่นๆ
• ดำเนินการ Migrate VMWare ESXi ไปที่ datastore [3] อื่นๆ
• ดำเนินการ Migrate VMWare ESXi ไปที่ proxmox [4] อื่นๆ

• ดำเนินการ Enable Syslog to SIEM [5]

Download

อัพโหลดให้ผ่าน Google Drive

โหลดจากผู้ให้บริการให้ลงทะเบียน VMWare Custom Connect
https://customerconnect.vmware.com/account-registration

หลังจากยืนยัน Email เรียบร้อยให้ทำการ Login

https://customerconnect.vmware.com/login

แล้วไปที่ Products and Accounts > Product Patches

อ้างอิง https://customerconnect.vmware.com/

เลือก ESXi (Embedded and Installable) ตามด้วยเวอร์ชั่นที่ต้องการค้นหา

อ้างอิง https://customerconnect.vmware.com/

ให้ค้นหาตามเวอร์ชันดังนี้

7.0.1 > VMware-ESXi-7.0U1a-17119627-depot

6.7.0 > ESXi670-202011001

6.5.0 > ESXi650-202011001

อ้างอิง: 
https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/

https://www.vmware.com/security/advisories/VMSA-2020-0023.html

[1]: https://sostechblog.com/2011/03/30/moving-vms-from-esx-to-workstation/

[2]: https://www.eknori.de/2019-01-04/homelab-copy-vm-from-one-esxi-host-to-another/

[3]: https://networklessons.com/uncategorized/vmware-esxi-5-move-vm-to-different-datastore

[4]: https://www.sysorchestra.com/migrate-vmware-esxi-virtual-machines-to-proxmox-kvm-with-lvm-thin-logical-volumes/

[5]: https://support.solarwinds.com/SuccessCenter/s/article/Configure-ESXi-Syslog-to-LEM?language=en_US

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 31 สิงหาคม 2564