Перейти к основному содержанию

Шифровальщик ESXArgs — принимаем меры

Information Seciurity

Кто-нибудь хочет, чтобы его гипервизоры зашифровали? Я — нет. Принимаем меры против нового шифровальщика, о котором уже три недели везде пишут.

Шифровальщик ESXArgs использует RCE уязвимость двухлетней давности CVE-2021-21974 (8.8 баллов по шкале CVSSv3.1). Уязвимые версии ESXi:

  • VMware ESXi версии 7.x (до ESXi70U1c-17325551, VMware рекомендует обновиться до ESXi 7.0 U2c)
  • VMware ESXi 6.x (до ESXi670-202102401-SG и ESXi650-202102101-SG)
  • VMware ESXi 5.x
  • VMware ESXi 4.x
  • VMware ESXi 3.x

Уязвимость найдена в службе SLP Service. Служба позволяет сетевым приложениям обнаруживать существование, местоположение и конфигурацию сетевых служб в корпоративных сетях. В качестве компенсационных мер VMware предлагает отключить эту службу:

https://kb.vmware.com/s/article/76372

Отключение SLP Service через SSH

Логинимся по SSH в ESXi. Выполняем команду:

/etc/init.d/slpd stop

Службу SLP можно остановить только тогда, когда она не используется. Используйте следующие команды для просмотра рабочего состояния протокола:

esxcli system slp stats get

Для отключения сервиса SLP выполните следующую команду:

esxcli network firewall ruleset set -r CIMSLP -e 0

Сохраняем изменения, чтобы служба не запустилась при перезагрузке:

chkconfig slpd off

Проверяем:

chkconfig --list | grep slpd
output: slpd off

После того как обновите ESXi, можно вернуть изменения:

esxcli network firewall ruleset set -r CIMSLP -e 1
chkconfig slpd on
/etc/init.d/slpd start

Выключите и включите CIM Server:

/etc/init.d/sfcbd-watchdog stop
/etc/init.d/sfcbd-watchdog start

Отключение SLP Service через GUI

Логинимся в vCenter или ESXi. Находим службу slpd.

esxi

И останавливаем.

esxi

Редактируем политики запуска и переключаем в ручной режим: "Start and stop manually".

esxi

Повторяем для всех хостов.

 

Похожие материалы

vCenter 6.7 — устанавливаем свой сертификат

Каждый раз процесс установки сертификата на vСenter проходил у меня с какими-то проблемами. На этот раз тоже не обошлось без трудностей, однако, их удалось все преодолеть.

Ошибка при установке Secret Net 7 — не удаётся записать значение в раздел

При установке Secret Net 7 иногда может возникнуть ошибка вида "Не удаётся записать значение в раздел". Дальше идёт указание ветки реестра и значения, которое не удаётся записать. Ошибка наблюдалась на Windows 7 x64 (и x86), а также на Windows Server 2012 R2. Инсталлятор Secret Net 7 запускался от имени администратора. Изменение прав доступа к веткам реестра не помогло решению проблемы.

ФПСУ-IP/Клиент на виртуальной машине VMware может привести к падению гипервизора

МЭ ФПСУ-IP/Клиент совместно с комплексами ФПСУ-IP обеспечивают надежную и устойчивую защиту информационных ресурсов системы, выполняя функции межсетевого экрана и VPN построителя. Надежность и бесперебойность функционирования комплексов ФПСУ-IP обеспечивается за счет горячего резервирования. Но есть проблемы.