Admin, penyedia hosting, dan Tim Tanggap Darurat Komputer Prancis (CERT-FR) memperingatkan bahwa penyerang secara aktif menargetkan server VMware ESXi yang belum di-patching terhadap kerentanan eksekusi kode jarak jauh yang sudah berusia 2 tahun untuk menyebarkan ransomware ESXiArgs yang baru.

Dilacak sebagai CVE-2021-21974, kelemahan keamanan ini disebabkan oleh masalah heap overflow pada layanan OpenSLP yang dapat dieksploitasi oleh pelaku ancaman yang tidak terautentikasi dalam serangan dengan tingkat kerumitan rendah.

"Berdasarkan penyelidikan saat ini, kampanye serangan ini tampaknya mengeksploitasi kerentanan CVE-2021-21974, yang patch-nya telah tersedia sejak 23 Februari 2021," kata CERT-FR.

"Sistem yang saat ini ditargetkan adalah hypervisor ESXi versi 6.x dan sebelum 6.7."

Untuk memblokir serangan yang masuk, admin harus menonaktifkan layanan Service Location Protocol (SLP) yang rentan pada hypervisor ESXi yang belum diperbarui.

CERT-FR sangat menyarankan untuk menerapkan patch sesegera mungkin, tetapi menambahkan bahwa sistem yang belum ditambal juga harus dipindai untuk mencari tanda-tanda kompromi.

CVE-2021-21974 memengaruhi sistem berikut ini:

• ESXi versi 7.x sebelum ESXi70U1c-17325551
• ESXi versi 6.7.x sebelum ESXi670-202102401-SG
• ESXi versi 6.5.x sebelum ESXi650-202102101-SG

Info lebih detail dapat dibaca pada tautan berikut: https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/