ESXiArgs について
最近巷を賑わせている ESXiArgs についてですが、対策としては修正バージョンに更新するか、KB76372で SLP サービスを無効にすることです。
詳細については公式ブログをどうぞ
VMware Security Response Center (vSRC) Response to ‘ESXiArgs’ Ransomware Attacks https://blogs.vmware.com/security/2023/02/83330.html
SLP サービスを無効にすると scp 経由で CIM サービスからハードウェア情報を取得していたアプリケーションは情報が得られなくなりますが、大きな問題にはならないでしょう。
※blog にあるとおり、7.0U2c 以降では標準で SLP サービスは無効になりました。
CVE-2021-21972
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
How to Disable/Enable the SLP Service on VMware ESXi (76372) https://kb.vmware.com/s/article/76372
なにかしら SLP 通信を行っているホストのログ
# 6.7u3 (build-16713306)
[root@vsan67u3:~] esxcli system slp stats get
(一部省略)
Date: 2023-02-13T04:32:03
Last TCPconnectionaccept: 2022-10-15T07:04:32 ← 通信した日付
Last UDPpacketreceived: 2023-02-13T04:27:22 ← 通信した日付
Noreplysent: 40
Process ID: 2098995
SASRVrequestreceieved: 41
SRVRQSTtypepacketsreceived: 81
SRVTYPERQSTtypepacketsreceived: 7
TCPacceptsfailed: 1
TCPcompletedaccepts: 108
UDPpktsreceivedbytes: 11644
UDPpktsreceivedok: 74
UDPpktstransmittedok: 34
Uptime: 17886672SLP が無効になっているホストのログ
# 8.0GA (build-20513097)
[root@vsan80:~] esxcli system slp stats get
SLP service is not running.
# 7.0u3 (build-19482537)
[root@vsan70u3:~] esxcli system slp stats get
SLP service is not running.
コメント