ESXi主机CVE-2021-21972漏洞复现安全处置建议
一、漏洞简介
vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。
vSphere Client(HTML5) 在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,写入webshell,控制服务器。
就是VMware套件有个Web管理界面,漏洞在一个未授权的上传接口,写入shell并执行命令。
二、影响范围
VMware vCenter Server 7.0系列 < 7.0.U1c
VMware vCenter Server 6.7系列 < 6.7.U3l
VMware vCenter Server 6.5系列 < 6.5 U3n
VMware ESXi 7.0系列 < ESXi70U1c-17325551
VMware ESXi 6.7系列 < ESXi670-202102401-SG
VMware ESXi 6.5系列 < ESXi650-202102101-SG
RedAlert勒索病毒又称为N13V勒索病毒,是2022年一款新型勒索病毒,同年7月被首次曝光,主要针对Windows和Linux VMWare ESXi服务器进行加密攻击,到目前为止该勒索病毒黑客组织在其暗网网站上公布了一名受害者,同时该名受害者在其官网上也发布了被黑客攻击的信息,该名受害者企业正在与网络犯罪领域的专家进行取证和溯源工作,并发布了相关的公告。
“勒索病毒”一览
勒索病毒是一种恶意程序,专门将本机与网路储存上的重要档案加密之后要求支付赎金才能解开档案。整体来讲,勒索病毒攻击分为六个阶段——初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索。
勒索病毒难以根除的主要原因:一方面是,勒索病毒传播方式多样,传统网络安全防护技术无法完全覆盖;另一方面是,安全存储技术体系要求不够完善,数据存储层勒索防护措施应用不足。且随着网络安全体系的不断完善,勒索病毒也日益呈现出新特点:攻击对象日趋精准化、攻击主体日益专业化、攻击模式趋于多样化。
危机应对
随着整体数据规模持续增长,面对日益猖狂的勒索病毒,各国各地区纷纷做出应对。我国国家互联网应急中心出台的《勒索软件防范指南》,从分类分级、密码设置等方面作出指导,提出了“要备份重要数据和系统。重要的文件、数据和业务系统要定期进行备份,并采取隔离措施,严格限制对备份设备和备份数据的访问权限,防止勒索软件横移对备份数据进行加密”的方向性要求。
作为抵御勒索病毒的最后一道防线,科学可靠的数据备份与业务系统容灾可以帮企业将可能会面临的风险系数降至最低,使其业务在遭到勒索软件攻击后能够迅速恢复,确保的数据可用性和业务连续性。
针对此次ESXi Args勒索事件,为广大用户提供了行之有效的VMware虚拟机备份解决方案,最大程度上保证用户数据安全运行。
1、 LAN-Free提升备份效率
备份软件在备份VMware时,不仅支持LAN-Based的备份数据传输链路,还提供包括搭建备份网络、通过SAN传输备份数据的LAN-Free模式,不会占用生产带宽与网络,备份速度更快,备份效率更高,且不会影响生产环境的正常运行。
常规加固:
1.默认情况下,ESXi Shell 接口和 SSH 接口处于停用状态。除非要执行故障排除或支持活动,否则这些接口应保持停用状态。对于日常活动,
请使用 vSphere Client或vcenter管控,使操作受制于基于角色的访问控制权限。
2.默认情况下,只有ESXI主机内部分防火墙端口处于打开状态,需明确打开与特定服务关联的防火墙端口作用。。
3.ESXi 仅运行管理其功或服务,要求只分发仅限于运行 ESXi 所需的功能。
4.默认情况下,弱密码是被停用,来自客户端的通信将通过 SSL 进行保护。用于保护通道安全的确切算法取决于 SSL 握手。
在 ESXi 上创建的默认证书会使用带有 RSA 加密的 PKCS#1 SHA-256 作为签名算法。ESXi 使用内部 Web 服务支持通过 Web Client 进行访问。
该服务已修改为只运行 Web Client 进行系统管理和监控所需的功能。
5、条件允许话请尽快对ESXI各版本补丁修复,因ESXI所涉及虚拟化主机较多,业务用途各异,修补过程中需重起设备。
6.所有ESXI主机不允许直接暴露到互联网上,理论上禁止接入互联网。
中招什么办:
攻击者加密后,会导致关键数据被损坏,虚拟机 (VM)处于关闭、无法连接状态,可能造成用户生产环境停线的严重后果;除了面临部分业务被中断,被攻击者还面临着2比特币左右的勒索赎金,给正常工作带来了极为严重的影响。
风险排查、紧急加固及处置建议
勒索风险自查
步骤一:检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在,建议立即删除该文件。
步骤二:检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,应及时删除。
勒索处置建议
步骤一:立即隔离受感染的服务器,进行断网;
步骤二:使用数据恢复工具恢复数据或重装ESXi
美国CISA发布了 ESXiArgs 勒索软件恢复脚本,相关链接如下:
https://github.com/cisagov/ESXiArgs-Recover
步骤三:重复“勒索风险自查”步骤;
步骤四:恢复修改后的部分文件
(1)查看/usr/lib/vmware目录下的index.html文件是否为勒索信,如果是,立即删除该文件。
(2)查看/etc/目录下是否存在motd文件,如果存在,立即删除。
漏洞自查
(1)查看ESXi的版本
方式1:登陆EXSi后台,点击帮助-关于,即可获取版本号。
方式2:访问EXSi终端,输入“vmware -vl”命令即可获取版本号。
(2)查看OpenSLP服务是否开启
访问EXSi终端,输入“chkconfig --list | grep slpd”命令即可查看OpenSLP服务是否开启。输出“slpd on”为开启,输出“slpd off”则代表未开启。
若ESXi版本在漏洞影响范围内,且OpenSLP服务开启,则可能受此漏洞影响。
漏洞加固
加固方案1:升级ESXi至如下版本
加固方案2:在ESXi中禁用OpenSLP服务
禁用OpenSLP属于临时解决方案,该临时解决方案存在一定风险,建议用户可根据业务系统特性审慎选择采用临时解决方案:
1、使用以下命令在ESXi 主机上停止SLP 服务:
/etc/init.d/slpd stop
2、运行以下命令以禁用SLP 服务且重启系统 后生效:
esxcli network firewall ruleset set -r CIMSLP -e 0
chkconfig slpd off
3、运行此命令检查禁用SLP 服务成功:
chkconfig --list | grep slpd
若输出slpd off 则禁用成功
停止SLP服务后,运行攻击脚本发现427端口已经关闭,漏洞无法进行利用。
相关文章:
ESXi主机CVE-2021-21972漏洞复现安全处置建议
一、漏洞简介 vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。 vSphere Client(HTML5…...
研报精选230217
目录 【行业230217毕马威】奢侈品行业新气象【行业230217国信证券】医药生物行业2023年2月投资策略:持续关注疫后复苏和创新两大主线【行业230217国金证券】航空锻造:稳定格局筑专业化壁垒,顺势而为拓产业链深度【个股230217西南证券_招商轮船…...
(std::unordered_set)(一))
c++11 标准模板(STL)(std::unordered_set)(一)
定义于头文件 <unordered_set> template< class Key, class Hash std::hash<Key>, class KeyEqual std::equal_to<Key>, class Allocator std::allocator<Key> > class unordered_set;(1)(C11 起)namespace pmr { templ…...
【C语言进阶】你听说过柔性数组吗?
👦个人主页:Weraphael ✍🏻作者简介:目前是C语言学习者 ✈️专栏:C语言航路 🐋 希望大家多多支持,咱一起进步!😁 如果文章对你有帮助的话 欢迎 评论💬 点赞&a…...
[LeetCode]1237. 找出给定方程的正整数解
题目链接:https://leetcode.cn/problems/find-positive-integer-solution-for-a-given-equation/description/ 题目描述: 样例1: 输入:function_id 1, z 5 输出:[[1,4],[2,3],[3,2],[4,1]] 解释:functi…...
【路径规划】基于A*算法和Dijkstra算法的路径规划(Python代码实现)
👨🎓个人主页:研学社的博客💥💥💞💞欢迎来到本博客❤️❤️💥💥🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密…...
蓝桥杯 stm32 PWM 设置占空比
本文代码使用 HAL 库。 文章目录 前言一、创建CubeMX 工程 ,占空比分析:二、相关函数:1. 获取 CNT函数2.设置CNT为 0 函数(计算器清零)3.开启TIM2_CH1的输入捕获中断函数4.TIM 回调函数三、设置上升沿,下降沿四、在lcd上显示 R40 占空比 详细代码五、设置占空比,输出 PW…...
React 合成事件理解
1 事件三个阶段 捕获、目标、处理 (具体百度,后面有空补全)2import React from "react";class Test extends React.Component {parentRef;childRef;constructor(props) {super(props);this.parentRef React.createRef();this.chil…...
202302|读书笔记——国图点滴
杂志剪影|看一本赚一本系列 anywhere 随心而行随心而动,极简相生复古文艺 热情洋溢 色彩斑斓 极致优雅 深邃魅力 新生绽放 灿若星空 异彩纷呈含苞待放 惊艳绽放 爱在云端 空中婚礼 暗夜浪漫 策马逐梦橘影相映 浆果红唇 梦幻无暇 永无止境浮光掠影 微酥清风低调奢华…...
Linux 操作系统原理 — NUMA 架构中的多线程调度开销与性能优化
目录 文章目录 目录前言NUMA 架构中的多线程性能开销1、跨 Node 的 Memory 访问开销2、跨 Core 的多线程 Cache 同步开销3、多线程上下文切换开销4、多线程模式切换开销5、中断处理的开销6、TLB 缓存失效的开销7、内存拷贝的开销NUMA 架构中的性能优化:使用多核编程代替多线程…...
OpenGL - 如何理解 VAO 与 VBO 之间的关系
系列文章目录 LearnOpenGL 笔记 - 入门 01 OpenGLLearnOpenGL 笔记 - 入门 02 创建窗口LearnOpenGL 笔记 - 入门 03 你好,窗口LearnOpenGL 笔记 - 入门 04 你好,三角形 文章目录系列文章目录1. 前言2. 渲染管线的入口 - 顶点着色器2.1 顶点着色器处理过…...
Linux中sed的使用
语法: sed [选项] [sed内置命令字符] [输入文件]选项: 参数说明-n取消默认色的输出常与sed内置命令p一起使用-i直接将修改结果写入文件,不用-i,sed修改的是内存数据-e多次编译,不需要管道符了-r支持正则扩展 sed的内…...
[软件工程导论(第六版)]第1章 软件工程学概述(复习笔记)
文章目录1.1 软件危机1.1.1 软件危机的介绍1.1.2 产生软件危机的原因1.1.3 消除软件危机的途径1.2 软件工程1.2.1 软件工程的介绍1.2.2 软件工程的基本原理1.2.3 软件工程方法学1.3 软件生命周期组成1.4 软件过程概念1.4.1 瀑布模型1.4.2 快速原型模型1.4.3 增量模型1.4.4 螺旋…...
ISP相关
Internet Service Provider,网络提供商/运营商,如电信、联通、移动等。 1. 与ISP互联的出口带宽 IDC或云提供商会与各运营商互联,互联的具体带宽数值一旦泄露,就会被恶意的攻击者利用。例如,若DDos攻击者知道了被攻击…...
vTESTstudio - VT System CAPL Functions - VT2004(续1)
成熟,就是某一个突如其来的时刻,把你的骄傲狠狠的踩到地上,任其开成花或者烂成泥。vtsStartStimulation - 启动激励输出功能:自动激励输出注意:在启动激励输出之前,一定要设置好输出模式Target:目标通道变量空间名称,例…...
WeakMap弱引用
let obj{name:张三} //{name:张三}这个对象能够被读取到,因为obj这个变量名对它的引用 //将引用覆盖掉 objnull //这个对象将会被从内存中移除,因为我们已经失去了对他的所有引用 let obj{name:张三} let arr[obj] objnull //对象{name:张三}不会…...
Springboot 使用quartz 定时任务 增删改查
前段时间公司项目用到了 定时任务 所以写了一篇定时任务的文章 ,浏览量还不错 , Springboot 整合定时任务 ) 所以就准备写第二篇, 如果你是一名Java工程师,你也可以会看到如下的页面 ,去添加定时任务 定时任务展示 :…...
 | 机试题+算法思路 【2023】)
华为OD机试 - 猜字谜(Python) | 机试题+算法思路 【2023】
最近更新的博客 华为OD机试 - 热点网络统计 | 备考思路,刷题要点,答疑 【新解法】 华为OD机试 - 查找单入口空闲区域 | 备考思路,刷题要点,答疑 【新解法】 华为OD机试 - 好朋友 | 备考思路,刷题要点,答疑 【新解法】 华为OD机试 - 找出同班小朋友 | 备考思路,刷题要点…...
Linux常用命令汇总
1、tcpdump抓包 tcpdump这个命令是用来抓包的,默认情况下这个命令是没有的,需要安装一下: yum install -y tcpdump 使用这个命令的时候最好是加上你网卡的名称,不然可能使用不了: tcpdump -nn -i {网卡名称} 网卡名称…...
1.TCP、UDP区别、TCP/IP七层、四层模型、应用层协议(计网)
文章目录1.OSI 七层模型是什么?每一层的作用是什么?2.TCP/IP 四层模型是什么?每一层的作用是什么?应用层(Application layer)传输层(Transport layer)网络层(Network lay…...
SciencePlots——绘制论文中的图片
文章目录 安装一、风格二、1 资源 安装 # 安装最新版 pip install githttps://github.com/garrettj403/SciencePlots.git# 安装稳定版 pip install SciencePlots一、风格 简单好用的深度学习论文绘图专用工具包–Science Plot 二、 1 资源 论文绘图神器来了:一行…...
云启出海,智联未来|阿里云网络「企业出海」系列客户沙龙上海站圆满落地
借阿里云中企出海大会的东风,以**「云启出海,智联未来|打造安全可靠的出海云网络引擎」为主题的阿里云企业出海客户沙龙云网络&安全专场于5.28日下午在上海顺利举办,现场吸引了来自携程、小红书、米哈游、哔哩哔哩、波克城市、…...
vue3 定时器-定义全局方法 vue+ts
1.创建ts文件 路径:src/utils/timer.ts 完整代码: import { onUnmounted } from vuetype TimerCallback (...args: any[]) > voidexport function useGlobalTimer() {const timers: Map<number, NodeJS.Timeout> new Map()// 创建定时器con…...
多种风格导航菜单 HTML 实现(附源码)
下面我将为您展示 6 种不同风格的导航菜单实现,每种都包含完整 HTML、CSS 和 JavaScript 代码。 1. 简约水平导航栏 <!DOCTYPE html> <html lang"zh-CN"> <head><meta charset"UTF-8"><meta name"viewport&qu…...
算法:模拟
1.替换所有的问号 1576. 替换所有的问号 - 力扣(LeetCode) 遍历字符串:通过外层循环逐一检查每个字符。遇到 ? 时处理: 内层循环遍历小写字母(a 到 z)。对每个字母检查是否满足: 与…...
JS手写代码篇----使用Promise封装AJAX请求
15、使用Promise封装AJAX请求 promise就有reject和resolve了,就不必写成功和失败的回调函数了 const BASEURL ./手写ajax/test.jsonfunction promiseAjax() {return new Promise((resolve, reject) > {const xhr new XMLHttpRequest();xhr.open("get&quo…...
HybridVLA——让单一LLM同时具备扩散和自回归动作预测能力:训练时既扩散也回归,但推理时则扩散
前言 如上一篇文章《dexcap升级版之DexWild》中的前言部分所说,在叠衣服的过程中,我会带着团队对比各种模型、方法、策略,毕竟针对各个场景始终寻找更优的解决方案,是我个人和我司「七月在线」的职责之一 且个人认为,…...
嵌入式学习之系统编程(九)OSI模型、TCP/IP模型、UDP协议网络相关编程(6.3)
目录 一、网络编程--OSI模型 二、网络编程--TCP/IP模型 三、网络接口 四、UDP网络相关编程及主要函数 编辑编辑 UDP的特征 socke函数 bind函数 recvfrom函数(接收函数) sendto函数(发送函数) 五、网络编程之 UDP 用…...
【把数组变成一棵树】有序数组秒变平衡BST,原来可以这么优雅!
【把数组变成一棵树】有序数组秒变平衡BST,原来可以这么优雅! 🌱 前言:一棵树的浪漫,从数组开始说起 程序员的世界里,数组是最常见的基本结构之一,几乎每种语言、每种算法都少不了它。可你有没有想过,一组看似“线性排列”的有序数组,竟然可以**“长”成一棵平衡的二…...
GraphRAG优化新思路-开源的ROGRAG框架
目前的如微软开源的GraphRAG的工作流程都较为复杂,难以孤立地评估各个组件的贡献,传统的检索方法在处理复杂推理任务时可能不够有效,特别是在需要理解实体间关系或多跳知识的情况下。先说结论,看完后感觉这个框架性能上不会比Grap…...