piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

VMware ESXiを狙ったランサムウエアキャンペーンESXiArgsについてまとめてみた

2023年2月3日(現地時間)、フランスのナショナルサートCERT-FRは、VMware ESXiを狙った脆弱性悪用のキャンペーンが確認されているとして注意を呼び掛けています。ここでは関連する情報をまとめます。

何が起きたの?

  • 2月4日未明よりVMware ESXiを狙ったサイバー攻撃が発生しているとCERT-FRをはじめ複数のセキュリティ研究者などから報告があがっており、被害に遭ったとみられるホスト数が増加傾向にあることから攻撃が続いている状況とみられる。攻撃を受けたホストはファイルの暗号化と身代金を求めるメッセージが確認されており、暗号化されたファイルの拡張子に.argsがつけられているためか研究者らからキャンペーンに対し「ESXiArgs」と名称がつけられている。*1
  • 身代金を要求するメッセージを公開している(ファイル暗号化の被害に遭ったとみられる)サーバーは、shodanを通じて確認されたものは約1,200件、Censysでは約1900件(2023年2月7日8時時点)。フランスを筆頭にドイツ、カナダ、米国、オランダの順に欧米を中心とする一方、割合として少数ながら日本を含むアジア地域でも同様の事象が観測されていた。
  • その後、復元可能なケースが確認されたことから米国CISAからもリカバリースクリプトが公開されたが、既存の手段では復元できない方式に暗号化の処理が変更されたことが報告されており、この方式で暗号化の被害を受けたとみられるホストが確認されている。
  • VMware ESXiが2021年2月以降アップデートされていない、かつOpenSLP(port427)が攻撃者から接続可能な状態となっている場合は攻撃の影響を受ける(既に受けている)恐れがあり、至急対応を行う必要がある。
Shodanを通じて確認されたメッセージ公開を行っているホスト数(2023年2月7日8時頃)

攻撃を受けるとどうなるの?

攻撃を受けた際は、以下の事象が報告されている。

①ファイルの暗号化

  • ESXi上の次の拡張子のファイル(接続されていない仮想ハードディスクを含む)を対象に暗号化を行い、暗号化したファイルごとに.argsの拡張子を付けたファイルを作成する。その後、暗号化に使用したバイナリファイルなどが削除される。
    • .vmdk
    • .vmx
    • .vmxf
    • .vmsd
    • .vmsn
    • .vswp
    • .vmss
    • .nvram
    • .vmem
  • 暗号化前に攻撃を受けたサーバーが停止した影響で、暗号化に用いられたスクリプトとバイナリに関する情報がBleeping Computerのフォーラムに投稿されている
  • 暗号化に使用されたバイナリは、鍵生成にOpenSSLのCPRNG RAND_pseudo_bytesを使用して鍵を生成し、Sosemanukを使用してファイルの暗号化を行う。その後ファイルキーはRSAで暗号化された後、ファイル末尾に追加される。*2
  • Nevadaランサムウエアとの関連が指摘されていたが、実装されている暗号化方式などから過去に観測されたランサムウエアキャンペーンで使用されたソースコードを流用ている可能性があるとBleeping Computerは指摘。*3

②ランサムノートの作成

  • 以下の身代金を要求する脅迫メッセージ(テキスト(motd)やHTMLファイル(index.html))がホスト上に作成される。

How to Restore Your Files
Security Alert!!!
We hacked your company successfully
 
All files have been stolen and encrypted by us
If you want to restore files or avoid file leaks, please send (要求金額) bitcoins to the wallet (ウォレットのアドレス)
If money is received, encryption key will be available on TOX_ID: (TOX ID)
 
Attention!!!
Send money within 3 days, otherwise we will expose some data and raise the price
Don't try to decrypt important files, it may damage your files
Don't trust who can decrypt, they are liars, no one can decrypt without key file
If you don't send bitcoins, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
 
Note
SSH is turned on
Firewall is disabled

  • 要求するビットコインの金額は約2BTC(約600万円相当)で、piyokangoが見る限り被害に遭ったホストごとに要求金額が微妙(端数)に異なっていた。
  • メッセージ中、全てのファイルを盗んだとする記述があるが、大規模なデータサイズのファイルに見合ったデータ送信量の確認は出来ていないとの報告がある。

③その他の事象

2年前に修正された脆弱性悪用の可能性

  • CERT-FRは、現時点での調査としてCVE-2021-21974を悪用した攻撃が行われていると指摘。OVHcloudも同様にOpenSLPのポートを介して攻撃が行われていると報告している。*4 GreynoiseはCVE-2021-21974以外に、CVE-2019-5544、CVE-2020-3992も可能性として取り上げており、2023年2月10日時点でも悪用されている具体的な脆弱性の特定はされていない。*5
  • VMwareは、今回の攻撃について0dayの脆弱性悪用は確認されておらず、著しく古い製品または既にサポートが終了している製品を標的にしていると言及。*6
  • CVE-2021-21974はOpenSLP(Service Location Protocol)のヒープオーバーフローの脆弱性で、悪用された場合にリモートから任意のコード実行が行われる恐れがある。2021年2月23日に公開されたVMSA-2021-0002で修正されており、CVSSは8.8*7、深刻度はImportとして評価が行われていた。
  • CVE-2021-21974であった場合は2021年2月3日より前の以下のバージョンが影響を受ける。またサポートが終了している5.5、6.0も影響を受ける可能性がある。また2021年以降にリリースされたESXi 7.0 U2c、ESXi 8.0 GAにおいては、OpenSLPは既定で無効化されていた。
影響を受ける製品 修正バージョン
ESXi 7.0 ESXi70U1c-17325551
ESXi 6.7 ESXi670-202102401-SG
ESXi 6.5 ESXi650-202102101-SG
Cloud Foundation (ESXi) 4.x 4.2
Cloud Foundation (ESXi) 3.x ESXi 6.7 EP 18 Hot Patchでのみ対応
対応方法
  • 最新のバージョンにアップデートされているか、インターネットからESXiサーバーへ意図せず接続可能となっていないかを確認する。
  • 攻撃の影響を受ける条件が揃っている環境においては、利用可能な全てのアップデートの適用を行うだけでなく、侵害の兆候がないかを確認する。
  • ESXiのアップデートがすぐに行えない場合は、OpenSLPの無効化を行う。なお、VMwareはセキュリティ構成ガイドに従いOpenSLPを使用していない場合はサービスを無効化することを推奨している。

CISAが復元ツール公開するも暗号化スクリプト変更

  • 2023年2月8日に、CISAが他のリサーチャーが公開した調査結果に基づき、復元するスクリプトをGithubに公開した。
  • 実際の仮想ハードディスクの内容が保存されている(サーバー名)-flat.vmdkファイルは128MBを超える場合に部分的にのみ暗号化が行われる実装となっていたことから、これを使って復旧する方法が紹介されていた。
  • しかし、その後に暗号化を行っていたスクリプトの処理内容に変更が行われ、これまで影響を免れる可能性のあったファイルにおいても半分のデータが暗号化される処理となったことから、この新しいバージョンのスクリプトによって暗号化された場合は復元が出来ない。また身代金支払い先のウォレットアドレスが削除されており、リサーチャーが身代金支払先アドレスを集約していたことを受けての変更とみられる。*8

関連情報

更新履歴

  • 2023年2月5日 AM 新規作成
  • 2023年2月5日 PM 続報反映
  • 2023年2月6日 PM 続報反映、脆弱性のPoCの公開状況を修正。
  • 2023年2月7日 AM 続報反映、対象製品を追加
  • 2023年2月10日 PM 続報反映(CISA復元ツール公開と暗号化スクリプトの変更)