По мере того, как технологии продолжают развиваться, растут и риски безопасности, связанные с ними. Недавно было обнаружено несколько критических уязвимостей в VMware ESXi — популярной платформе виртуализации, широко используемой в корпоративных средах. Уязвимости, обозначенные как CVE-2022-31696, CVE-2022-31697, CVE-2022-31698 и CVE-2022-31699, потенциально могут привести к удаленному выполнению кода (RCE) в уязвимых системах.
Эти уязвимости могут позволить злоумышленнику выполнить произвольный код на удаленном узле, потенциально скомпрометировав систему и приведя к краже данных и другим вредоносным действиям. В некоторых случаях злоумышленник может даже получить полный контроль над уязвимой системой, что значительно повлияет на безопасность и стабильность затронутых систем.
Уязвимые версии VMware ESXi включают 6.7 и 6.5, и важно отметить, что эти уязвимости были исправлены VMware. Пользователям настоятельно рекомендуется обновить свои системы как можно скорее, чтобы снизить риск эксплуатации. Для дополнительной защиты от RCE-атак также важно следовать передовым методам сетевой безопасности и поддерживать все системы в актуальном состоянии с помощью последних исправлений безопасности.
В заключение, недавние уязвимости в VMware ESXi подчеркивают важность сохранения бдительности и упреждения, когда речь идет о безопасности. Предприняв необходимые шаги для защиты своих систем и данных, вы поможете обеспечить безопасность и защиту своей организации. Будьте в курсе и оставайтесь в безопасности.
Вам необходимо защитить свой сервер, если он еще не взломан. Этот эксплойт работает, используя службу SLP, поэтому лучше отключить ее на данный момент.
[enesdev@ESXi:~] /etc/init.d/slpd stop
[enesdev@ESXi:~] esxcli network firewall ruleset set -r CIMSLP -e 0
[enesdev@ESXi:~] chkconfig slpd off
Эта команда отключает набор правил брандмауэра для службы CIMSLP на хосте ESXi. «esxcli network firewall ruleset» — это инструмент командной строки для управления правилами брандмауэра на хосте ESXi. Параметр «-r» указывает имя набора правил брандмауэра, который необходимо изменить, а параметр «-e» устанавливает включенное состояние набора правил. Значение «0» означает, что набор правил брандмауэра отключен, а значение «1» означает, что он включен.
По состоянию на 03.02.2023 версии ESXi 6.x подверглись воздействию вируса CryptoLocker из-за уязвимости, и виртуальные серверы стали непригодными для использования. Для пользователей, которые столкнулись с этим и оказались с зашифрованными файлами vmdk, я расскажу, как восстановить виртуальный сервер. Вирус шифрует небольшие файлы, такие как .vmdk .vmx, но не файл server-flat.vmdk. В структуре ESXi фактические данные хранятся в файле flat.vmdk. Я расскажу, как сделать запасной вариант с помощью flat.vmdk. Прежде всего, когда вы войдете на свой сервер ESXi, вы увидите предупреждение о SSH, подобное этому;
Перезагрузите ESXi, после загрузки войдите в SSH. Перейдите в папку виртуального сервера, который вы хотите восстановить. Вы войдете в datastorexxx по FTP/SSH, но его имя в командной строке изменится на 6094xxx.
После входа в папку набираем команду ls -la , здесь мы получим размер flat.vmdk. В примере 64424509440.
теперь удалите существующий файл .vmdk, набрав rm -rf xxx.vmdk ПРИМЕЧАНИЕ. Удалите файл xxx.vmdk . Никогда не удаляйте xxx-flat.vmdk .
Затем введите команду v mkfstools -c 64424509440 -d thin temp.vmdk . Обратите внимание, что размер 64424509440 здесь должен быть -flat.vmdk , это вывод команды ls -la .
Теперь при входе в папку вы увидите temp.vmdk и temp-flat.vmdk .
Откройте temp.vmdk с помощью текстового редактора, он будет выглядеть так, как показано выше. В строке 9 написано « temp-flat.vmdk ». Мы заменим его оригинальным -flat.vdmk . Мое исходное имя flat.vmdk было 185.88.172.17-flat.vmdk , поэтому я редактирую его соответствующим образом. Я также удаляю строку ddb.thinProvisioned = "1" в строке 19 .
Редактируем строку 9 на « 185.88.172.17-flat.vmdk » и удаляем строку ddb.thinProvisioned = «1» в строке 19 . Окончательный вариант такой же, как в СС выше.
Затем вернитесь на sFTP и удалите temp-flat.vmdk . Переименуйте файл temp.vmdk так же, как flat.vmdk . Мое имя flat.vmdk было 185.88.172.17-flat.vmdk . Поэтому мы изменили имя файла temp.vmdk на 185.88.172.17.vmdk , поэтому просто удалили строку -flat . Окончательное состояние было следующим
Далее мы отредактируем ваш файл .vmx . Поскольку ваш текущий файл .vmx зашифрован, его резервная копия остается как . vmx~ . Имя файла на моем sFTP — 185.88.172.17.vmx~ . Открываем текстовым редактором, копируем все и вставляем в оригинальный . vmx (в 185.88.172.17.vmx )
Вот как выглядит внутренний файл .vmx , поэтому мы взяли файл .vmx~ и создали .vmx .
Затем вернитесь на FTP и удалите файл . vmsd , он зашифрован и поврежден, он вам не нужен.
Вернитесь к экрану SSH и введите vmkfstools -e xxxx.vmdk Сделайте любое имя .vmdk.
Затем войдите в хранилище данных в ESXi и щелкните правой кнопкой мыши xxx.vmx в папке, которую вы редактировали, и выберите Зарегистрировать виртуальную машину . Если виртуальная машина уже существует, сначала щелкните ее правой кнопкой мыши в области «Виртуальные машины» и «Отменить регистрацию», то есть удалите ее из интерфейса ESXi, затем щелкните правой кнопкой мыши файл .vmx и сделайте так, чтобы он зарегистрировал виртуальную машину.
После регистрации виртуальной машины ваш виртуальный сервер появится в области виртуальных машин ESXi, и вы сможете открыть его и использовать.
После завершения этих процессов не забудьте отформатировать ESXi и отключить его. Также обновите свой ESXi с помощью последних доступных исправлений безопасности.
Если вы были взломаны таким образом, мы постараемся восстановить ваши виртуальные машины. Для этого просто позвоните нам и закажите услугу.