jmb
/
www-jmbit-de
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

added prospective compromised count

gin
Johannes Bülow 2023-02-05 18:14:22 +01:00
parent 0971c154ba
commit a6b8438b9a
Signed by untrusted user who does not match committer: jmb
GPG Key ID: B56971CF7B8F83A6
2 changed files with 6 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

7
content/blog/2023-02-05-esxiargs.md
View File

@ -9,6 +9,11 @@ verschlüsselt. Der wahrscheinlichste Angriffsvektor ist derzeit
[CVE-2021-21974](https://www.vmware.com/security/advisories/VMSA-2021-0002.html), ein Heap-Overflow -> RCE Exploit.
Benannt ist die Malware danach, dass sie dem Namen verschlüsselter Dateien ".args" anhängt.
Laut ONYPHE sind 2,112 IPs kompromittiert (Stand 5.2.2023):
[![Tweet von Onyphe zu kompromittierten Hosts](/img/blog/esxiargs_onyphe.jpg)](https://twitter.com/onyphe/status/1622272331421736962)
## Was ist passiert?
Auf den betroffenen ESXi-Servern wurde vermutlich unter Ausnutzung von CVE-2021-21974 eine reverse shell installiert.
In dem [Sample](https://bazaar.abuse.ch/sample/773d147a031d8ef06ee8ec20b614a4fd9733668efeb2b05aa03e36baaf082878/#yara)
@ -65,4 +70,4 @@ https://kb.vmware.com/s/article/1026353
### Betroffene ESXi-Server
https://www.shodan.io/search?query=html%3A%22TOX_ID%22
https://twitter.com/onyphe/status/1622272331421736962

BIN
static/img/blog/esxiargs_onyphe.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 68 KiB