恶意事件描述

近期，深信服深盾终端实验室在运营工作中发现了一种新的勒索软件 ESXiArgs ，该勒索软件于今年2月开始大规模出现。攻击者利用两年前未经修补的RCE漏洞CVE-2021-21974将恶意文件传输至 ESXi 导致 OpenSLP 服务中的堆溢出。

影响范围

该漏洞与OpenSLP相关，通过427/UDP进行攻击，未经身份验证的威胁参与者可以利用该漏洞在低复杂性攻击中获得远程代码执行。截止本文发布，全球受影响服务器有2453台，基于censys统计数据，国内受影响服务器数十台左右。

CVE-2021-21974 漏洞影响以下版本：

ESXi70U1c-17325551之前的ESXi 7.x版本

ESXi670-202102401-SG之前的ESXi 6.7.x版本

ESXi650-202102101-SG之前的ESXi 6.5.x版本  

处置建议

1. 在 ESXi 中禁用 OpenSLP 服务，或者升级至ESXi 7.0 U2c 或 ESXi 8.0 GA ，ESXi 7.0 U2c 或 ESXi 8.0 GA 版本默认情况下禁用该服务。
2. 检查文件“vmtools.py”是否存在于“/store/packages/”位置。如果找到，建议立即删除该文件。
3. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。
4. 重要的数据最好双机备份或云备份。