针对VMware vSphere受勒索病毒威胁的最佳应对策略

2021年3月20日

关于VMware vSphere系统被勒索病毒攻击的文章在网络上广泛流传,也引起了安全人士及国内企业用户的高度关注。在文章中指出,虚拟机被勒索病毒攻击后,出现了大量虚拟机关闭、虚拟机处于关机及无法连接状态、用户生产环境停止运行等严重问题。

这次的勒索病毒造成如下影响:

  • VMware vSphere部分的虚拟机磁盘文件.vmdk、虚拟机描述文件.vmx被重命名
  • .vmx文件被加密
  • VMware vm-support日志收集包中,也有了勒索软件生成的说明文件

此次攻击者利用了VMware ESXi中的OpenSLP组件服务中可能被触发堆栈溢出的问题,进而执行远程代码入侵环境,对环境执行破坏操作。VMware关于【CVE-2019-5544】和【CVE-2020-3992】的安全更新说明中对OpenSLP组件服务漏洞进行了相关问题阐述。

而早在去年10月份,就有一款名为RansomExx的勒索软件利用VMware ESXi的OpenSLP组件漏洞入侵系统。可见勒索软件攻击已经成为企业和个人面临的最危险的网络威胁之一。

VMware安全更新说明:
https://www.vmware.com/security/advisories/VMSA-2019-0022.html
https://www.vmware.com/security/advisories/VMSA-2020-0023.html

针对以上出现的问题,森蓝安全提供了如下的解决方案作为参考:

针对OpenSLP组件服务漏洞问题,VMware在2019年【CVE-2019-5544】和2020年【CVE-2020-3992】的2个安全公告中申明,并在后续发布的ESXi软件更新版本中对OpenSLP组件进行了加固和修复;同时也提供了临时关闭OpenSLP组件服务功能临时解决此问题。

方案1:环境版本升级(强烈建议)对6.0及6.0以下版本的ESXi环境强烈建议采用升级方式修复,并对后续的可能漏洞修复做好充分准备工作。

  • 环境主机硬件等相关配置满足兼容性
  • 跨版本升级需满足License合规性
  • 集群资源冗余满足单台主机临时离线升级
  • 若存在绑定主机的虚拟机或使用本地存储的虚拟机,需协调业务停机时间
  • 建议有此需求的客户联系供应商进行升级操作评估;
  • 确认升级操作可行性
  • 执行环境升级方案和升级计划
  • 根据升级方案和计划执行升级操作。

方案2:升级ESXi主机补丁版本(建议)

  • 集群内主机资源充足,可以满足单台主机重启离线
  • 若存在绑定主机的虚拟机,或使用本地存储的虚拟机,需协调业务停机时间
  • 从供应商或VMware官网获取对应版本的ESXi补丁程序;
  • 在VC中将待操作主机上运行的虚拟机手动或使用DRS自动迁移至其他主机上运行;对于无法迁移的虚拟机做好相关停机和备份工作
  • 开启ESXi主机SSH服务
  • 使用FTP等工具将补丁文件上传至存储(本次存储或共享存储)
  • 使用SSH方式登录到受影响的ESXi主机上,执行以下补丁升级命令:esxcli software vib install -d filepatch(使用zip类型文件的绝对路径)
  • 执行主机重启操作命令,完成补丁升级工作:Reboot

方案3:临时关闭OpenSLP组件服务(不建议)

  • 确保环境中未使用CIM代理服务(通用信息模型)。关闭OpenSLP服务会影响CIM服务的正常运行,CIM代理是提供硬件运行状况信息的进程,禁用此服务将禁用硬件运行状况;
  • (无需停机)开启ESXi主机SSH服务
  • 使用SSH方式登录到受影响的ESXi主机上,执行以下2条命令。
    esxcli network firewall ruleset set -r CIMSLP -e 0
    chkconfig slpd off

方案4:数据安全加固

现如今,勒索软件攻击造成的损失持续扩大,攻击频率更是在逐级增长,数据安全越来越重要。对环境额外增加数据备份功能,用于保障各种意外因素导致的环境问题和数据问题,森蓝安全结合多家国内外知名备份厂商,可以为客户提供多种高效,安全,稳固的数据保护解决方案,保障客户的数据安全,提升数据价值。

森蓝安全勒索病毒应急恢复中心

0571-28819615

森蓝™安全服务是您值得信赖的IT安全产品和安全技术服务提供商,从网络到数据安全、从管理到安全服务,安全团队为企业向前赋能信心。

请致电

扫一扫



或搜索微信号:senlan365
加业务专员微信

扫一扫



或搜索QQ号:2094778
加业务专员QQ