米国 CISA FBI 「ESXiArgs」の復旧ガイダンスを公開
こんにちは、丸山満彦です。
パッチが適用されていないVMware ESXiソフトウェアの既知の脆弱性等を悪用して、ESXiサーバにアクセスし、ESXiArgsランサムウェアを展開している可能性があり、ESXiサーバーの設定ファイルが暗号化されると仮想マシンが使用不能になるかもしれないですよね。。。被害は米国・カナダ・ドイツ・フランスが中心のようですね。。。米国、ドイツ、フランスで警告が出ています。。。日本もJPCERT/CCから警告が出ています。。。
● CISA
・2023.02.08 CISA and FBI Release ESXiArgs Ransomware Recovery Guidance
| CISA and FBI Release ESXiArgs Ransomware Recovery Guidance | CISA と FBI が ESXiArgs ランサムウェアの復旧ガイダンスを公開 |
| Today, CISA and the Federal Bureau of Investigation (FBI) released a joint Cybersecurity Advisory, ESXiArgs Ransomware Virtual Machine Recovery Guidance. This advisory describes the ongoing ransomware campaign known as “ESXiArgs.” Malicious cyber actors may be exploiting known vulnerabilities in unpatched and out-of-service or out-of-date versions of VMware ESXi software to gain access to ESXi servers and deploy ESXiArgs ransomware. The ransomware encrypts configuration files on ESXi servers, potentially rendering virtual machines unusable. | 本日、CISAとFBIは、サイバーセキュリティアドバイザリ「ESXiArgs Ransomware Virtual Machine Recovery Guidance」を共同で発表した。この勧告は、"ESXiArgs "として知られる進行中のランサムウェア・キャンペーンについて説明している。悪意のあるサイバーアクターは、パッチが適用されていないVMware ESXiソフトウェアの既知の脆弱性やサービス停止または古いバージョンの脆弱性を悪用して、ESXiサーバにアクセスし、ESXiArgsランサムウェアを展開している可能性がある。このランサムウェアは、ESXiサーバーの設定ファイルを暗号化し、仮想マシンを使用不能にする可能性がある。 |
| As detailed in the advisory, CISA has created and released an ESXiArgs recovery script at [web]. CISA and FBI encourage organizations that have fallen victim to ESXiArgs ransomware to consider using the script to attempt to recover their files. | 勧告に詳述されているように、CISAはESXiArgs回復スクリプトを作成し、[web] で公開している。CISA と FBI は、ESXiArgs ランサムウェアの被害に遭った組織に対し、このスクリプトを使用してファイルの復元を試みることを検討するよう推奨している。 |
| Additionally, CISA and FBI encourage all organizations to review the advisory and incorporate the recommendations for protecting against ESXiArgs ransomware. | また、CISA と FBI は、すべての組織がこの勧告を確認し、ESXiArgs ランサムウェアから保護するための推奨事項を取り入れることを推奨している。 |
・2023.02.07 CISA Releases ESXiArgs Ransomware Recovery Script
| CISA Releases ESXiArgs Ransomware Recovery Script | CISA、ESXiArgsランサムウェアの回復スクリプトをリリース |
| CISA has released a recovery script for organizations that have fallen victim to ESXiArgs ransomware. The ESXiArgs ransomware encrypts configuration files on vulnerable ESXi servers, potentially rendering virtual machines (VMs) unusable. | CISAは、ESXiArgsランサムウェアの被害に遭った組織向けに、回復スクリプトを公開した。ESXiArgsランサムウェアは、脆弱なESXiサーバー上の設定ファイルを暗号化し、仮想マシン(VM)を使用不能にする可能性がある。 |
| CISA recommends organizations impacted by ESXiArgs evaluate the script and guidance provided in the accompanying README file to determine if it is fit for attempting to recover access to files in their environment. | CISAは、ESXiArgsの影響を受けた組織が、添付のREADMEファイルに記載されているスクリプトとガイダンスを評価し、環境内のファイルへのアクセス回復を試みるのに適しているかどうかを判断することを推奨する。 |
・・[github] 回復スクリプト
・2023.02.08 Alert (AA23-039A) ESXiArgs Ransomware Virtual Machine Recovery Guidance
| Alert (AA23-039A) ESXiArgs Ransomware Virtual Machine Recovery Guidance | アラート (AA23-039A) ESXiArgs ランサムウェア仮想マシンの回復ガイダンス |
| Summary | 概要 |
| The Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) are releasing this joint Cybersecurity Advisory (CSA) in response to the ongoing ransomware campaign, known as “ESXiArgs.” Malicious actors may be exploiting known vulnerabilities in VMware ESXi servers that are likely running unpatched and out-of-service or out-of-date versions of VMware ESXi software to gain access and deploy ransomware. The ESXiArgs ransomware encrypts configuration files on ESXi servers, potentially rendering virtual machines (VMs) unusable. | サイバーセキュリティ・重要インフラ庁 (CISA) と 連邦捜査局 (FBI) は、「ESXiArgs」として知られるランサムウェアのキャンペーンが進行していることを受け、この共同サイバーセキュリティアドバイザリ (CSA) を発表する。悪意のある行為者は、パッチが適用されておらず、サービス停止中または古いバージョンのVMware ESXiソフトウェアを実行していると思われるVMware ESXiサーバの既知の脆弱性を悪用して、アクセスを試み、ランサムウェアを展開している可能性がある。ESXiArgsランサムウェアは、ESXiサーバー上の設定ファイルを暗号化し、仮想マシン(VM)を使用不能にする可能性がある。 |
| CISA has released an ESXiArgs recovery script at [github]. Organizations that have fallen victim to ESXiArgs ransomware can use this script to attempt to recover their files. This CSA provides guidance on how to use the script. ESXiArgs actors have compromised over 3,800 servers globally. CISA and FBI encourage all organizations managing VMware ESXi servers to: | CISAは、ESXiArgsの復旧スクリプトを[github]で公開している。ESXiArgs ランサムウェアの被害に遭った組織は、このスクリプトを使用してファイルの復元を試みることができる。ESXiArgs の感染者は、全世界で 3,800 台を超えるサーバに侵入している。CISA と FBI は、VMware ESXi サーバを管理するすべての組織に対して、次のことを推奨する。 |
| ESXiArgs actors have compromised over 3,800 servers globally. CISA and FBI encourage all organizations managing VMware ESXi servers to: | ESXiArgs の感染者は、全世界で 3,800 台を超えるサーバに侵入している。CISAとFBIは、VMware ESXiサーバを管理するすべての組織に対して、次のことを推奨する。 |
| ・Update servers to the latest version of VMware ESXi software, | ・サーバーを最新バージョンのVMware ESXiソフトウェアにアップデートする。 |
| ・Harden ESXi hypervisors by disabling the Service Location Protocol (SLP) service, and | ・ESXiハイパーバイザーのSLP(Service Location Protocol)サービスを無効にし、ESXiハイパーバイザーを強化する。 |
| ・Ensure the ESXi hypervisor is not exposed to the public internet. | ・ESXiハイパーバイザーが公衆インターネットに公開されていないことを確認する。 |
| If malicious actors have compromised your organization with ESXiArgs ransomware, CISA and FBI recommend following the script and guidance provided in this CSA to attempt to recover access to your files. | CISA と FBI は、悪意ある者が ESXiArgs ランサムウェアを使用して組織に侵入した場合、本 CSA で提供するスクリプトとガイダンスに従って、ファイルへのアクセスを回復するよう試みることを推奨する。 |
・[PDF]
ドイツでは...
● Bundesamt für Sicherheit in der Informationstechnik
・2023.02.06 Weltweiter Ransomware-Angriff
| Weltweiter Ransomware-Angriff | 世界的なランサムウェアの攻撃 |
| Laut Medienberichten tausende ESXi-Server verschlüsselt | 数千台のESXiサーバーが暗号化されたとメディアが報じる |
| Bei einem weltweit breit gestreuten Ransomware-Angriff wurden laut Medienberichten tausende ESXi-Server, die u. a. zur Virtualisierung von IT-Fachverfahren genutzt werden, verschlüsselt. Der regionale Schwerpunkt der Angriffe lag dabei auf Frankreich, den USA, Deutschland und Kanada, auch weitere Länder sind betroffen. | 報道によると、ITプロセスの仮想化などに使用されている数千台のESXiサーバーが、世界中に広く分散したランサムウェア攻撃により暗号化された。地域的にはフランス、米国、ドイツ、カナダに集中しており、その他の国でも被害を受けている。 |
| Nach derzeitigem Kenntnisstand wird davon ausgegangen, dass dabei die bereits im Februar 2021 gepatchte Schwachstelle CVE-2021-21974 als Angriffsvektor ausgenutzt wird. Das BSI hatte zu dieser Zeit vor der Ausnutzung von Schwachstellen im entsprechenden Produkt gewarnt. Zum aktuellen IT-Sicherheitsvorfall hat das BSI nun eine Cyber-Sicherheitwarnung mit entsprechenden Schutzmaßnahmen veröffentlicht. | 現在の知見では、2021年2月に既にパッチが適用されている脆弱性「CVE-2021-21974」が攻撃ベクトルとして悪用されていると推測される。その際、BSIは該当製品の脆弱性を悪用しないよう警告を発していた。今回のITセキュリティ事件については、BSIがサイバーセキュリティ警告を発表し、それに対応する保護対策を発表している。 |
| Nach bisherigen Erkenntnissen scheint es in Deutschland eine mittlere dreistellige Zahl an betroffenen Systemen zu geben. Konkretere Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden sind derzeit noch nicht möglich. | これまでの調査結果によると、ドイツでは3桁の中程度の数のシステムが影響を受けているようである。被災状況や被害の可能性について、より具体的な説明はまだできていない。 |
| Das BSI analysiert diesen IT-Sicherheitsvorfall intensiv und steht im engen Austausch mit seinen internationalen Partnern. Das BSI wird über aktuelle Erkenntnisse informieren. | BSIは、このITセキュリティ事件を集中的に分析し、国際的なパートナーと緊密に連絡を取り合っている。BSIは、現在の知見に関する情報を提供する。 |
| * ESX und ESXi sind Bezeichnungen von Hypervisoren von VMware zur Virtualisierung von Servern, Rechenzentren und Rechnersystemen. ESX steht hierbei für "Elastic Sky X", ESXi bedeutet "Elastic Sky X integrated". | * ESXとESXiは、サーバー、データセンター、コンピューターシステムを仮想化するためのVMware社のハイパーバイザーの名称である。ESXは「Elastic Sky X」の略で、ESXiは「Elastic Sky X integrated」の意味である。 |
フランス... (最初はここから始まったようですね。。。)
● CERT-FR
・2023.02.03 Objet: [MàJ] Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
| Objet: [MàJ] Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi | 件名: 【更新】VMware ESXiに影響する脆弱性を悪用するキャンペーンについての通知 |
| RISQUE(S) | リスク |
| Exécution de code arbitraire à distance | リモートでの任意のコード実行 |
| RÉSUMÉ | 概要 |
| [Mise à jour du 05 février 2023] Mise à jour du résumé et de la section 'Solution'. | [2023年02月05日更新】概要・解決編を更新した。 |
| Le 03 février 2023, le CERT-FR a pris connaissance de campagnes d'attaque ciblant les hyperviseurs VMware ESXi dans le but d'y déployer un rançongiciel. | 2023年2月3日、CERT-ENは、ランサムウェアを展開するためにVMware ESXiハイパーバイザーを標的とした攻撃キャンペーンについて認識した。 |
| Dans l'état actuel des investigations, ces campagnes d'attaque semblent avoir tiré parti de l'exposition d'hyperviseurs ESXi qui n'auraient pas été mis à jour des correctifs de sécurité suffisamment rapidement. En particulier, le service SLP semble avoir été visé, service pour lequel plusieurs vulnérabilités avaient fait l'objet de correctifs successifs (notamment les vulnérabilités CVE-2020-3992 et CVE-2021-21974, cf. section Documentation). Ces vulnérabilités permettent à un attaquant de réaliser une exploitation de code arbitraire à distance. Des codes d'exploitation sont disponibles en source ouverte depuis au moins mai 2021. | 現在の調査状況によると、これらの攻撃キャンペーンは、セキュリティパッチが迅速に更新されていないESXiハイパーバイザーの露出を利用したものと思われる。特に、SLP サービスは、複数の脆弱性(特に CVE-2020-3992 と CVE-2021-21974 脆弱性、ドキュメントのセクションを参照)が順次修正されているサービスであり、このサービスが狙われたと思われる。これらの脆弱性により、攻撃者はリモートで任意のコードの搾取を行うことができる。エクスプロイトコードは、少なくとも2021年5月以降、オープンソースで公開されている。 |
| Les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6.7. | 現在、対象となるシステムは、バージョン 6.x および 6.7 より前の ESXi ハイパーバイザーである。 |
| Cependant, le CERT-FR rappelle que les vulnérabilités affectant SLP concernent les systèmes suivants : | しかし、CERT-FRは、SLPに影響を与える脆弱性は、以下のシステムに関係するものである。 |
| ESXi versions 7.x antérieures à ESXi70U1c-17325551 | ESXiバージョン7.x(ESXi70U1c-17325551以前) |
| ESXi versions 6.7.x antérieures à ESXi670-202102401-SG | ESXiバージョン6.7.x(ESXi670-202102401-SG以前) |
| ESXi versions 6.5.x antérieures à ESXi650-202102101-SG | ESXiバージョン6.5.x(ESXi650-202102101-SG以前) |
| SOLUTION | 解決方法 |
| [Mise à jour du 05 février 2023] | [2023年02月05日更新)。 |
| Le CERT-FR a la confirmation qu'il est possible de récupérer les disques des machines virtuelles lorsque les fichiers de configuration (.vmdk) sont chiffrés et renommés avec une extension .args. En effet, dans ce cas, le fichier contenant le disque virtuel (fichier -flat.vmdk) n'est pas chiffré. Plusieurs procédures testées avec succès sont documentées [1]. | CERT-ENでは、仮想マシンの設定ファイル(.vmdk)を暗号化し、拡張子を.argsに変更した場合、ディスクの復旧が可能であることを確認している。 確かにこの場合、仮想ディスクを含むファイル(ファイル -flat.vmdk)は暗号化されていない。テストに成功したいくつかの手順が文書化されている[1]。 |
| Le CERT-FR recommande fortement de : | CERT-FRは、以下のことを強く推奨する。 |
| isoler le serveur affecté ; | 影響を受けるサーバーを隔離する。 |
| dans la mesure du possible, effectuer une analyse des systèmes afin de détecter tout signe de compromission [2], l'application seule des correctifs n'est pas suffisante, un attaquant a probablement déjà déposé un code malveillant ; | 可能であれば、システムスキャンを実行し、侵害の兆候を検出する [2]。パッチだけでは不十分で、攻撃者はすでに悪意のあるコードを書き込んでいる可能性がある。 |
| privilégier une réinstallation de l'hyperviseur dans une version supportée par l'éditeur (ESXi 7.x ou ESXi 8.x) ; | ハイパーバイザーをベンダーがサポートするバージョン(ESXi 7.xまたはESXi 8.x)で再インストールする。 |
| appliquer l'ensemble des correctifs de sécurité et de suivre les futurs avis de sécurité de l'éditeur ; | すべてのセキュリティパッチを適用し、ベンダーの今後のセキュリティ勧告に従う。 |
| désactiver les services inutiles sur l'hyperviseur (tel que le service SLP [3]) ; | ハイパーバイザー上の不要なサービス(SLPサービス[3]など)を無効化する。 |
| bloquer l'accès aux différents services d'administration, soit par un pare-feu dédié, soit par le pare-feu intégré à l'hyperviseur et mettre en œuvre un réseau local d'administration ainsi qu'une capacité d'administration distante si elle est requise (via réseau privé virtuel, VPN, ou, à défaut, par un filtrage des adresses IP de confiance). | 専用のファイアウォールまたはハイパーバイザーのビルトインファイアウォールを介して、さまざまな管理サービスへのアクセスをブロックし、ローカル管理ネットワークと、必要に応じてリモート管理機能(VPN経由、またはそれができない場合は信頼できるIPアドレスフィルタリング)を実装する。 |
| La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version. | 製品やソフトウェアのアップデートは繊細な作業であるため、慎重に行う必要がある。特に、テストは可能な限り実施することを推奨する。また、パッチやバージョンアップなどの更新の適用が困難な場合にも、サービスの継続を確保できるように手配しておく必要がある。 |
- Bulletin de sécurité VMware VMSA-2021-0002 du 23 février 2021
https://www.vmware.com/security/advisories/VMSA-2021-0002.html - Bulletin de sécurité VMware VMSA-2020-0023 du 20 octobre 2020
https://www.vmware.com/security/advisories/VMSA-2020-0023.html - Avis de sécurité CERT-FR CERTFR-2021-AVI-145 du 24 février 2021
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-145/ - Référence CVE CVE-2021-21974
https://www.cve.org/CVERecord?id=CVE-2021-21974 - Référence CVE CVE-2020-3992
https://www.cve.org/CVERecord?id=CVE-2020-3992 - [1] Procédures de récupération des machines virtuelles
https://gist.github.com/MarianBojescu/da539a47d5eae29383a4804218ad7220
https://enes.dev - [2] Les bons réflexes en cas d’intrusion sur un système d’information
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/ - [3] Procédure permettant de désactiver le service SLP
https://kb.vmware.com/s/article/76372
日本でも...
・2023.02.07 VMware ESXiを標的としたランサムウェア攻撃について
Comments