本期精选
VMware ESXi大规模勒索攻击活动出现
微软分享针对APT组织NOBELIUM的事件响应过程
portswigger发布2022年十大Web黑客技术
GoAnywhere MFT软件出现在野0day攻击
未知黑客在Steam中测试Dota 2地图的V8引擎漏洞
Apache官方修复了HackerOne白帽子报告的Kafka远程代码执行漏洞
VMware ESXi大规模勒索攻击活动出现
这次攻击涉及的是VMWare ESXi 的OpenSLP服务漏洞。
Vmware官方公告
https://blogs.vmware.com/security/2023/02/83330.html
去年juniper曾发现未打补丁的ESXi服务器被植入Python后门,疑似使用了OpenSLP服务漏洞的2个老漏洞CVE-2019-5544和CVE-2020-3992。
juniper报告
https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers
此次勒索攻击活动使用的漏洞疑似是CVE-2021-21974,ovh是最早的法国受害运营商
OVH公告
https://blog.ovhcloud.com/ransomware-targeting-vmware-esxi/
CVE-2021-21974漏洞的POC公开于2021年6月期间,而ET Labs在2023年2月3日专门更新了编号为2044114的IDS规则,可见相关漏洞在流量的入侵检测上未被太关注。
ET LABS更新日志
https://community.emergingthreats.net/t/ruleset-update-summary-2023-02-03-v10236/298
这次攻击者的加密脚本出了个有意思的BUG,为了加密文件的效率,攻击者计算文件大小进行了分块加密,通过均分的方式只加密一小块跳过多块文件,文件越大跳过的块越多,结果导致真正存储虚拟机数据的大文件只损坏了一小部分,可以被恢复。