In questi ultimi giorni è scoppiato il caso del ransomware rilasciato nel web in grado di sfruttare delle vulnerabilità (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974) scoperte nel 2021 ma che sembra stiano avendo un discreto successo in tutto il globo. La vulnerabilità in questione vengono usate per attaccare vCenter ed ESXI permettendo l’utilizzo di codice remoto senza limiti:
CVE-2021-21972
vSphere Client (HTML5) contiene una vulnerabilità legata all’esecuzione di codice in modalità remota in un plug-in vCenter Server. Un attore malintenzionato con accesso di rete alla porta 443 può sfruttare questo problema per eseguire comandi con privilegi illimitati sul sistema operativo sottostante che ospita vCenter Server. Ciò riguarda VMware vCenter Server (7.x prima di 7.0 U1c, 6.7 prima di 6.7 U3l e 6.5 prima di 6.5 U3n) e VMware Cloud Foundation (4.x prima di 4.2 e 3.x prima di 3.10.1.2)
CVE-2021-21974
Un attore malintenzionato che risiede nello stesso segmento di rete di ESXi che ha accesso alla porta 427 potrebbe essere in grado di attivare il problema di overflow dell’heap nel servizio OpenSLP con conseguente esecuzione di codice in modalità remota.
REMEDIATION
Response Matrix CVE-2021-21972
Product | Version | Running On | CVE Identifier | CVSSv3 | Severity | Fixed Version | Workarounds | Additional Documentation |
vCenter Server | 7.0 | Any | CVE-2021-21972 | 9.8 | Critical | 7.0 U1c | KB82374 | None |
vCenter Server | 6.7 | Any | CVE-2021-21972 | 9.8 | Critical | 6.7 U3l | KB82374 | None |
vCenter Server | 6.5 | Any | CVE-2021-21972 | 9.8 | Critical | 6.5 U3n | KB82374 | None |
Response Matrix CVE-2021-21974
Product | Version | Running On | CVE Identifier | CVSSv3 | Severity | Fixed Version | Workarounds | Additional Documentation |
[1] ESXi | 7.0 | Any | CVE-2021-21974 | 8.8 | Important | ESXi70U1c-17325551 | KB76372 | None |
[1] ESXi | 6.7 | Any | CVE-2021-21974 | 8.8 | Important | ESXi670-202102401-SG | KB76372 | None |
[1] ESXi | 6.5 | Any | CVE-2021-21974 | 8.8 | Important | ESXi650-202102101-SG | KB76372 | None |
Nel caso in cui il ransomware abbia colpito voi o uno dei vostri clienti spulciando in rete ho trovato un interessante articolo che spiega un procedura con cui è possibile recuperare i dati criptati poichè sembra che il file effetivamente criptati siano solo i vmdk e non i vmdk flat.
decrypt your crypted files in ESXi servers affected by CVE-2020-3992 / CryptoLocker attack (enes.dev)
Update 8/2/2023: La procedura sopra non l’ho testata personalmente percui non posso assicurare che possa funzionare per tutti, da quello che mi sembra di capire il ransomware colpisce in maniera più “cattiva” i VMDK datastore, mentre i datastore NFS sembra siano colpiti in maniera minore, ovvero i dati sugli nfs datastore sono solo rinominati ma non cryptati.