RCE уязвимости VMware ESXi OpenSLP в активной эксплуатации (CVE-2021–21974, CVE-2020–3992). Используются в шифровальщике ESX­i­Args.

Массовые атаки ESX­i­Args начались с 3 февраля. В первую очередь пострадали серверы VMware ESXi доступные из Интернет. Сообщают о как минимум 3000 пострадавших серверах. Есть оценки, что в Интернет выставлено более 80 000 (!) ESXi серверов. 🤩 Но, естественно, эта уязвимость касается вообще всех необновленных ESXi хостов, не только доступных из Интернет.

Сами VMware использование 0‑day не нашли. В новостях пока пишут о двух старых уязвимостях OpenSLP. Это открытая реализация "Ser­vice Loca­tion Pro­to­col", которая используется в ESXi.

CVE-2021–21974. В NVD с 24.02.2021. Публичный эксплоит с 03.06.2021

Уязвимые версии ESXi:
7.0 before ESX­i70U1c-17325551
6.7 before ESX­i670-202102401-SG
6.5 before ESX­i650-202102101-SG

CVE-2020–3992. В NVD с 20.10.2020. Публичный эксплоит с 05.02.2021.

Уязвимые версии ESXi:
7.0 before ESX­i70U1a-17119627
6.7 before ESX­i670-202011301-SG
6.5 before ESX­i650-202011401-SG

Нужно патчить. Если вообще никак, то отключать SLP (хотя есть сообщения, что некоторым это не помогло). Для одних версий ESX­i­Args есть декриптор, для других нет, лучше не рассчитывать. Хороший повод проверить ваши бэкапы на случай, если всё же пошифруют. Дайте знать вашим VMware-админам! 😉

PS: Хороший пример как оно бывает. Так вот месяцами-годами может быть публичная инфа об уязвимости и какие-то PoC‑и. А потом бабах — и понеслась. Не доводите до греха, патчитесь заранее и отказывайтесь от неподдерживаемых систем.