< 정보 출처>
Massive ESXiArgs ransomware attack targets VMware ESXi servers worldwide
Admins, hosting providers, and the French Computer Emergency Response Team (CERT-FR) warn that attackers actively target VMware ESXi servers unpatched against a two-year-old remote code execution vulnerability to deploy ransomware.
www.bleepingcomputer.com
이 뉴스의 주제는 Vmware EXSI서버에서 2년 전에 발생한 CVE-2021-21974 취약점을 악용하는 것으로 보이며, ESXIArgs라는 새로운 랜섬웨어 변종 배포 및 공격 문제가 발생하였다는 것입니다. 저도 Kali linux, bee box 등을 VMware로 사용하고 있기에, 겉표지를 보고 관심이 더 갔던 것 같습니다.
먼저, CVE-2021-21974 취약점은 2021년에 발견되어 보고되었으며, VMware vCenter Server의 취약점 입니다. 이 취약점을 통해 공격자는 영향이 미치는 범위에 있는 시스템에서 상승된 권한으로 임의 코드를 실행할 수 있습니다. 추가적으로 해당 취약점은 OpenSLP 서비스의 힙 오버플로 문제로 발생한다고 합니다.
다행히도, 2021년에 VMware가 vCenter Server 가상 인프라 관리 플랫폼의 중요한 RCE(원격 코드 실행) 취약성을 해결 하였으나, 해당 취약점에 대한 패치가 아직까지 진행되지 않은 VMware EXSI서버가 표적이 되어 랜섬웨어 배포를 위해 악용되고 있다고 합니다.
ESXIArgs ransomware attack이 파괴적인 이유는 VMware ESXI에서 서버 인프라의 대부분을 운영하여 한 장치의 암호화로 여러 서버를 동시에 암호화 할 수 있기 때문이라고 합니다.
해당 공격에 대한 대응책은 아직 업데이트 되지 않은 ESXI 하이퍼 바이저에서 취약한 SLP 서비스를 비활성화해야 하며, 이번 공격에 대해 아직까지 추적을 하고 있는 것으로 보입니다.
< 해당 기사를 읽으며, 몰랐던 정보나 중요하다고 생각되는 것들을 정리해 보겠습니다.>
OpenSLP(Open Service Location Protocol)는 서비스 검색 프로토콜로, 네트워크 상에서 서비스를 검색하고 찾는 것을 지원하며, 서비스 검색 과정에서 두 개의 구성 요소 서비스 검색 에이전트 (SSA)와 서비스 게스트 (SG)를 사용합니다. SSA는 네트워크상에서 서비스를 제공하는 장치(프린터, 파일 서버, 디렉터리 서비스)에 대한 정보를 관리하고, SG는 필요한 서비스를 검색하고 찾는 기능을 제공합니다. OpenSLP의 목적은 네트워크 상의 서비스를 효율적으로 검색할 수 있게끔 하는 것이고, 이를 통해 네트워크 상의 장치 간 상호 통신 작업이 원활하게 이루어질 수 있다는 장점이 존재합니다. 하지만 단점도 존재하는데, 인증 누락, 버퍼 오버플로우, 무결성 검사 누락 등의 보안 취약점이 존재한다고 합니다.
OpenSLP는 오픈소스이기에 커스터 마이징하거나 확장할 수 있습니다. 그렇다면 Open 소스가 아닌 SLP 프로토콜도 있다는 것인데, 이 점이 궁금해 SLP에 관해 ChatGPT를 통해 찾아보았습니다.
둘은 같은 개념을 가진 프로토콜이며, OpenSLP가 SLP의 오픈소스 구현체라는 것이 특징입니다. 오픈소스 구현체이기에 사용자들이 직접 수정하거나 확장할 수 있는 장점이 존재한다는 차이점이 있습니다.
ChatGPT에게 (Open)SLP가 아직도 활용이 되는지, 기타 네트워크 관리 프로토콜(LLDP, mDNS...)등에 의해 완전히 대체될 수 있는지를 물어보았습니다.
우선, (Open)SLP는 기업 내의 네트워크 구성요소들을 찾기 위한 방법 중 하나로 아직도 사용이 되고 있지만, 이 둘의 사용빈도는 다른 네트워크 관리 및 검색 프로토콜의 등장에 따라 점차 감소하고 있다고 합니다.
또한 SLP와 OpenSLP는 새로운 네트워크 관리 및 검색 프로토콜들(DNS, DHCP, mDNS, LLDP 등)에 비해 구비된 기능이 적고, 보안 취약점이 있기 때문에 완전히 대체될 수 있을 것으로 예상된다는 답변을 얻었습니다.
하지만, 기존 회사의 새로운 프로토콜로의 전환이 어렵거나 기타 문제등으로 여전히 사용이 될 수 도 있다고 합니다.
< CVE-2021-21974 설명 >
https://nvd.nist.gov/vuln/detail/CVE-2021-21974
NVD - CVE-2021-21974
CVE-2021-21974 Detail Description OpenSLP as used in ESXi (7.0 before ESXi70U1c-17325551, 6.7 before ESXi670-202102401-SG, 6.5 before ESXi650-202102101-SG) has a heap-overflow vulnerability. A malicious actor residing within the same network segment as ESX
nvd.nist.gov
< SLP 프로토콜 >
https://en.wikipedia.org/wiki/Service_Location_Protocol
Service Location Protocol - Wikipedia
From Wikipedia, the free encyclopedia The Service Location Protocol (SLP, srvloc) is a service discovery protocol that allows computers and other devices to find services in a local area network without prior configuration. SLP has been designed to scale f
en.wikipedia.org
< VMware ESXI >
https://ko.wikipedia.org/wiki/VM%EC%9B%A8%EC%96%B4_ESXi
VM웨어 ESXi - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전.
ko.wikipedia.org
<Open SLP 취약점>
CPAI-2019-1794 - Check Point Software
Protection Overview This protection detects attempts to exploit this vulnerability. In order for the protection to be activated, update your Security Gateway product to the latest IPS update. For information on how to update IPS, go to SBP-2006-05, click o
advisories.checkpoint.com
보안분야에 관심이 있는 비전공자이고, 개인 공부 목적이므로 잘못된 정보가 존재할 수 있습니다. 그때는 말씀해 주시면 감사하겠습니다 : )