حداقل یک گروه باج‌افزاری در حال سوء استفاده از آسیب‌پذیری‌های موجود در محصولات ESXi است. آنها با سوء استفاده از این آسیب‌پذیری‌ها کنترل ماشین‌های مجازی را به دست گرفته و درایو هارد آنها را رمزنگاری می‌کنند.

ESXi یک hypervisor است که امکان استفاده چند ماشین مجازی از یک سخت‌افزار را فراهم می‌کند. حملات نامبرده که اولین بار در اکتبر گذشته مشاهده شدند، به یک گروه مجرم نسبت داده شده‌اند که منتشرکننده باج‌افزار RansomExx است.

طبق گفته چند متخصص امنیت سایبری در مصاحبه با وب‌سایت خبری ZDNet، شواهد نشان می‌دهد که مهاجمان از آسیب‌پذیری‌های CVE-2019-5544 و CVE-2020-3992 استفاده کرده‌اند. هر دو آسیب‌پذیری‌ها سرویس SLP یا Service Location Protocol را تحت تأثیر قرار می‌دهند. SLP پروتکلی است که به تجهیزات موجود در یک شبکه امکان می‌دهد تا یکدیگر را پیدا کنند.

این آسیب‌پذیری‌ها به مهاجمی که در شبکه قرار دارد اجازه می‌دهند درخواست‌های بدخواهانه SLP را به یک تجهیز ESXi بفرستد و کنترل آن را به دست گیرد، حتی اگر مهاجم موفق به نفوذ به سرور VMWare vCenter نشده باشد. vCenter، سروری است که برای مدیریت هاست‌های ESXi به کار می‌رود.

آسیب‌پذیری CVE-2019-5544 به مهاجم اجازه می‌دهد حافظه هیپ را رونویسی کرده و در نهایت کد دلخواه خود را اجرا کند. این آسیب‌پذیری در سال 2019 برطرف شده بود.

آسیب‌پذیری CVE-2020-3992 از نوع «استفاده پس از آزادسازی» (use-after-free, UAF) است. فرد بدخواهی که در شبکه مدیریتی قرار دارد و به پورت ۴۲۷ ماشین ESXi دسترسی دارد ممکن است بتواند آسیب‌پذیری UAF را در سرویس OpenSLP فعال کرده و در نتیجه از راه دور روی ماشین کد اجرا کند. ابتدا در اکتبر 2020 یک وصله برای این آسیب‌پذیری منتشر شد، اما VMWare در نوامبر اعلام کرد که این وصله دارای اشکال بوده که آن را برطرف کرده است.

گزارش چنین حملاتی در ردیت و توییتر به اشتراک گذاشته شده‌اند، در یک کنفرانس امنیتی در ماه گذشته ارائه شده‌اند و در مصاحبه‌های دو ماه گذشته با ZDNet نیز تائید شده‌اند.

تا به حال تنها گروه RansomExx (Defray777) در حال استفاده از این ترفند مشاهده شده است. البته سازنده باج‌افزار بابوک لاکر (Babuk locker) در آخرین به‌روزرسانی اعلام کرده است که این باج‌افزار می‌تواند سیستم‌های ESXi را نیز رمزنگاری کند. با این وجود هنوز حمله به ESXi با استفاده از بابوک لاکر مشاهده نشده است.

علاوه بر آن، مشاهده شده است که در سال گذشته میلادی، تبهکاران سایبری، دسترسی به سرورهای ESXi را در فروم‌های زیرزمینی به فروش می‌رسانده‌اند. بسیاری از باندهای باج‌افزاری از فروشندگان دسترسی کمک می‌گیرند تا نقطه ورودی اولیه‌ای را برای نفوذ به سازمان هدف پیدا کنند. این امر می‌تواند علت مربوط بودن برخی حملات باج‌افزاری سال گذشته با ESXi را توضیح دهد.

توصیه می‌شود ادمین‌هایی که از ESXi استفاده می‌کنند، وصله‌های ضروری را اعمال کنند یا در صورت عدم نیاز به پروتکل SLP، آن را غیرفعال کنند تا از وقوع حملات جلوگیری شود.