طبق گزارشهای منتشر شده در تاریخ 4 فوریه 2023، اخیرا چندین مورد نفوذ امنیتی به سرورهای دارای مجازی ساز VMware ESXi در سراسر جهان صورت گرفته است. این رخنه امنیتی از طریق یک آسیبپذیری موجود در سرویس OpenSLP سرورهای ESXi به نام CVE-2021-21974 انجام میشود. در موارد گزارش شده که عمدتا در فرانسه اتفاق افتادهاند، دیتای کاربران قربانی این نفوذ، رمزگذاری شدهاند و در ازای در دسترس قرار دادن مجدد دیتا تقاضای باج شده است. تا کنون گروه هکر نوادا مسئولیت بخشی از این حملات را به عهده گرفته است.
در ادامه این مقاله در مورد نحوه رفع این آسیبپذیری VMware ESXi روشهایی ارائه خواهیم کرد.
نحوه رفع آسیبپذیری VMware ESXi
به عنوان اولین نکته در صورتیکه از ESXi در خدمات سرور اختصاصی خود استفاده میکنید، در اسرع وقت اقدام به غیرفعال کردن OpenSLP یا محدودسازی دسترسیهای آن به آیپیهای خاص خود نمایید.
همچنین توصیه میشود تا پورتهای ESXi را به باز نگذارید، چرا که حتی در صورت آنلاین نبودن ESXi امکان نفوذ به آن از طریق پورتهای کاربران وجود دارد.
برای راهنمایی و رفع آسیبپذیری VMware ESXi میتوانید مراحل زیر را انجام دهید:
- ابتدا SSH سرور را فعال نمایید. (به مقاله راهنمایی نحوه فعالسازی SSH در VMwareمراجعه کنید)
- به سرور SSH بزنید و کامند زیر را ران کنید تا به دایرکتوری مربوطه دست پیدا کنید:
cd /vmfs/volumes/datastore1/
- پچ های زیر را دانلود کنید:
wget https://dl.server.ir/ESXI/ESXi670-202210001.zip
wget https://dl.server.ir/ESXI/ESXi650-202210001.zip
wget https://dl.server.ir/ESXI/ESXi600-202002001.zip
- پچ های دانلود شده را نصب کنید:
esxcli software vib update -d /vmfs/volumes/datastore1/ESXi670-202210001.zip
esxcli software vib update -d /vmfs/volumes/datastore1/ESXi650-202210001.zip
esxcli software vib update -d/vmfs/volumes/datastore1/ESXi600-202002001.zip
- سرور را ریبوت کنید.
- SSH را مجددا غیرفعال کنید. (انجام این مرحله بسیار مهم است چراکه از لحاظ امنیتی فعال ماندن SSH توصیه نمی شود.
نسخههای آسیب پذیر ESXi
طبق بررسیهای انجام شده نسخههای آسیبپذیر VMware ESXi به شرح زیر هستند:
- ESXi 7.x versions earlier than ESXi70U1c-17325551
- ESXi versions 6.7.x earlier than ESXi670-202102401-SG
- ESXi versions 6.5.x earlier than ESXi650-202102101-SG
