一、事件追踪

近日，一篇名为《针对VMware vSphere的勒索病毒已经出现》的博文引起了大家的广泛关注。虚拟化系统一直被认为具有较高的安全性，但此次事件中，尽管该系统客户现有存储每天执行过快照，花费一整天的时间，也仅仅是大致恢复了业务。根据报道，中毒现象如下：

VMware vSphere集群仅有vCenter处于正常状态。同时企业中Windows桌面PC，笔记本大量出现被加密情况。

VMware vSphere部分：

浏览ESXI Datastore发现，虚拟机磁盘文件.vmdk，虚拟机描述文件.vmx被重命名，手动打开.vmx文件，发现.vmx文件被加密。

Vmx文件被加密。图片引用自

https://blog.csdn.net/z136370204/article/details/114924387

VMware vm-support日志收集包中，竟然也有勒索软件生成的说明。图片引用自https://blog.csdn.net/z136370204/article/details/114924387

Windows部分：

依据原博文报道，windows客户端内，用户文件被加密，加密程度不一。Windows日志被清空，无法溯源。防病毒软件未起到作用，运行安全诊断软件，未能发现异常。

二、病毒分析

未能依据公开报道，从公开平台上获取本次勒索事件中病毒样本。依据中毒现象，初步判断该病毒基本与此前针VMware vSphere的勒索病毒同源。事实上，2021年2月2日，美国网络安全媒体ZDNet发布报告称，一款名为RansomExx的勒索软件利用VMware ESXi的利用VMWare ESXi产品的漏洞CVE-2019-5544和CVE-2020-3992进行攻击，攻击活动于2020年10月被首次发现。2021年1月27日，“BabukLocker”勒索软件的开发者也声称可以加密VMware ESXi工作站。

CVE-2019-5544漏洞来源于ESXi和Horizon DaaS设备中使用的OpenSLP存在堆覆盖问题，能够通过网络访问ESXi宿主机上 427 端口或任何Horizon DaaS平台的恶意用户可能会通过覆盖OpenSLP服务的堆，最终导致远程代码执行。

CVE-2020-3992漏洞来源于ESXi中使用的OpenSLP存在“use-after-free”释放后重利用问题，当攻击者在管理网络（management network）中时，可以通过访问ESXi宿主机的427端口触发OpenSLP服务的user-after-free，从而导致远程代码执行。

除此之外，2021年2月24日，VMware 官方发布安全公告，披露了一个严重漏洞、一个高位漏洞、一个中危漏洞。据安全人士分析称，勒索病毒在更新中添加了对其的利用代码。这三个漏洞包括：

CVE-2021-21972为vSphere Client（HTML5）在vCenter Server默认安装插件vRealize Operations中包含一个远程执行代码漏洞。攻击者可直接通过443端口构造恶意请求，执行任意代码，控制vCenter。该漏洞容易利用，利用方式已在网络社区中广泛传播，需重点防护。

CVE-2021-21974为ESXi中使用的OpenSLP存在堆溢出漏洞，攻击者可通过427端口构造恶意请求，触发OpenSLP服务中的堆溢出漏洞，并可能导致远程代码执行。

中危漏洞CVE-2021-21973 VMware vCenter Server SSRF漏洞，攻击者可通过443端口发送恶意POST请求，发起内网扫描，造成SSRF漏洞。

三、解决方案

首先，建议更新至官方建议的版本。摘录官方公告，形成表格如下：

其次，建议加强对系统的备份，包括但不限于数据备份。根据相关报道，技术人员在安全事件发生时第一时间尝试禁用漏洞相关服务。但囿于VMware vSphere系统本身的限制，收效甚微。历来对勒索病毒的处理实践中，备份一直是最有力的武器。及时在现场处理安全事件，第一时间也应断网并抢救式备份数据。唯有足够充分的备份，才能完整实现对用户的安全承诺。

最后，还是要提醒我们的技术人员提高警惕。虚拟化环境与linux操作系统一直以来被认为具有较高的安全性。但近年来，针对布置在其中的企业系统，安全事件层出不穷。攻击与防御是动态发展的过程，只要具有足够大的价值，随着被洞悉，被研究，没有能够永久屹立的绝境长城，终会出现使其骤然倒塌的冬之号角。唯有安全人员如誓词那般：

长夜将至，我从今开始守望；今夜如此，夜夜皆然。