Recupere seu VMWARE afetado pelo ataque CVE-2020-3992 / CryptoLocker
À medida que a tecnologia continua a evoluir, também aumentam os riscos de segurança associados a ela. Recentemente, várias vulnerabilidades críticas foram descobertas no VMware ESXi, que é uma plataforma de virtualização popular amplamente utilizada em ambientes corporativos.
⭐ Meu Deus, o que está acontecendo?
As vulnerabilidades, designadas como CVE-2022-31696 , CVE-2022-31697 , CVE-2022-31698 e CVE-2022-31699 , podem levar à execução remota de código (RCE) nos sistemas afetados.
Essas vulnerabilidades podem permitir que um invasor execute código arbitrário em um host remoto, comprometendo potencialmente o sistema e levando ao roubo de dados e outras atividades maliciosas. Em alguns casos, o invasor pode até obter controle total sobre o sistema afetado, levando a um impacto significativo na segurança e estabilidade dos sistemas afetados.
As versões afetadas do VMware ESXi incluem 6.7 e 6.5, e é importante observar que essas vulnerabilidades foram corrigidas pela VMware. Os usuários são altamente recomendados para atualizar seus sistemas o mais rápido possível para reduzir o risco de exploração. Para proteger ainda mais contra ataques RCE, também é importante seguir as práticas recomendadas de segurança de rede e manter todos os sistemas atualizados com os patches de segurança mais recentes.
Concluindo, as vulnerabilidades recentes no VMware ESXi destacam a importância de permanecer vigilante e proativo quando se trata de segurança. Ao tomar as medidas necessárias para proteger seus sistemas e dados, você pode ajudar a garantir a segurança de sua organização. Mantenha-se informado e fique seguro.⭐ Olá amigos,Em primeiro lugar, peço desculpas antecipadamente, pois esta será uma explicação rápida e sem estilo. Estamos correndo contra o tempo!Você não pode aprender tudo do ChatGPT. Às vezes, você precisa compartilhar a experiência atual. 🙂
⭐ Uma solução rápida para se proteger primeiro
Você precisa proteger seu servidor se ainda não estiver comprometido. Esta exploração funciona usando o serviço SLP sob o capô, então é melhor desativá-lo por enquanto.[enesdev@ESXi:~] /etc/init.d/slpd stop
[enesdev@ESXi:~] esxcli network firewall ruleset set -r CIMSLP -e 0
[enesdev@ESXi:~] chkconfig slpd off
Este comando desativa o conjunto de regras de firewall para o serviço “CIMSLP” em um host ESXi. O “conjunto de regras de firewall de rede esxcli” é uma ferramenta de linha de comando para gerenciar regras de firewall em um host ESXi. A opção “-r” especifica o nome do conjunto de regras de firewall a ser modificado e a opção “-e” define o estado ativado do conjunto de regras. Um valor de “0” significa que o conjunto de regras do firewall está desativado, enquanto um valor de “1” significa que está ativado.A partir de 03.02.2023, as versões ESXi 6.x foram expostas ao vírus CryptoLocker devido a uma vulnerabilidade e os servidores virtuais tornaram-se inutilizáveis. Para usuários que passaram por isso e acabaram com arquivos vmdk criptografados, direi como recuperar o servidor virtual. O vírus criptografa arquivos pequenos como .vmdk .vmx, mas não o arquivo server-flat.vmdk. Na estrutura do ESXi, os dados reais são mantidos em flat.vmdk. Vou lhe dizer como fazer um fallback usando flat.vmdk. Em primeiro lugar, ao entrar no servidor ESXi, você verá um aviso no SSH como este;
Agora reinicie o ESXi, depois de inicializar, digite SSH. Entre na pasta do servidor virtual que deseja recuperar. Você insere datastorexxx do FTP, mas seu nome muda para 6094xxx.
Após entrar na pasta, digite o comando ls -la, aqui obteremos o tamanho do flat.vmdk. Diz 64424509440.
agora exclua o arquivo .vmdk existente digitando
rm -rf xxx.vmdk NOTA: Exclua o arquivo xxx.vmdk. Nunca exclua xxx-flat.vmdk.
Em seguida, digite o comando vmkfstools -c 64424509440 -d thin temp.vmdk. Observe que o tamanho de 64424509440 aqui deve ser -flat.vmdk quando fazemos ls -la.
Agora, quando você entrar na pasta, verá temp.vmdk e temp-flat.vmdk.
Abra temp.vmdk com o bloco de notas, ficará como acima. Na linha 9 diz “temp-flat.vmdk”. Nós o substituiremos pelo -flat.vdmk original. Meu nome flat.vmdk original era 185.88.172.17-flat.vmdk, então eu o edito de acordo. Também estou excluindo a linha
ddb.thinProvisioned = “1” na linha 19.
Editei a linha 9 para “185.88.172.17-flat.vmdk” e apaguei a linha
ddb.thinProvisioned = “1” na linha 19. A versão final é como no SS acima.
Em seguida, volte para o FTP e exclua temp-flat.vmdk. Renomeie o arquivo temp.vmdk igual a flat.vmdk. Meu nome flat.vmdk era 185.88.172.17-flat.vmdk. Portanto, alterei o nome do arquivo temp.vmdk para 185.88.172.17.vmdk, então excluí a linha -flat. O estado final foi o seguinte
Em seguida, editaremos seu arquivo .vmx. Como seu arquivo .vmx atual está criptografado, seu backup permanece como .vmx~. O nome do arquivo no meu FTP é 185.88.172.17.vmx~. Eu abro com o bloco de notas, pego todos os códigos e colo no .vmx original (em 185.88.172.17.vmx)
É assim que o .vmx interno funciona, então peguei o arquivo .vmx~ e criei um .vmx.
Em seguida, volte para o FTP e exclua o arquivo .vmsd, ele está criptografado e corrompido, você não precisa dele.
Retorne à tela SSH e digite
vmkfstools -e xxxx.vmdk Faça qualquer que seja o seu nome .vmdk.
Em seguida, entre no armazenamento de dados no ESXi e clique com o botão direito em xxx.vmx na pasta que você editou e faça Register VM. Se a VM já existir, primeiro clique com o botão direito na área Máquinas Virtuais e Cancele o registro, ou seja, remova-a da interface ESXi, depois clique com o botão direito do mouse no .vmx e faça-o Registrar VM.
Depois de registrar uma VM, seu servidor virtual aparecerá na área ESXi Virtual Machines e você poderá abri-lo e usá-lo.Após a conclusão desses processos, não se esqueça de formatar o ESXi e desligá-lo. Atualize também seu ESXi com os patches de segurança mais recentes disponíveis.
⭐ Como remover mensagem de banner na entrada SSH?
Remova ou exclua o conteúdo do arquivo /etc/motd . Você pode usar o comando echo “” > /etc/motd em resumo.
Saudações a todos da Turquia!Obrigado a @mselim da r10, dono da empresa siberdc na Turquia.
⭐ 02/06/2023 – ATUALIZAÇÃO!Percebi que a maioria de vocês não consegue inicializar servidores virtuais devido à falha do sistema operacional. Vou lhe dizer como obter seus arquivos de vmdk não inicializável ou não reparado.
1. Em primeiro lugar, siga as etapas do artigo acima e repare seu arquivo .vmdk. Isso é um dever.
2. Baixe
WinPE10_8_Sergei_Strelec_x86_x64_2021.10.15_English.iso e salve-o em uma pasta em seu servidor.
3. Crie um servidor virtual no ESXi. Eu explico passo a passo;Selecione Windows – Windows Server 2012 conforme abaixo ao criar seu servidor virtual:
Em seguida, selecione Thin Provisioned no campo Hard Disk 1 conforme abaixo e faça o tamanho do disco o suficiente para você. Por exemplo, o tamanho do meu .vmdk é 30 GB. Já que vou jogar meus arquivos no Disco Rígido 1, fiz o tamanho de 50GB por precaução;
Agora clique no campo Add Hard Disk e clique em Existing Hard Disk
Selecione o .vmdk que iremos recuperar aqui. Meu arquivo .vmdk corrompido que vou recuperar chama-se C7-RDS1.vmdk. eu escolho.
Como você pode ver, o .vmdk que selecionei como Novo disco rígido apareceu na minha tela.
Agora clique no arquivo ISO do armazenamento de dados da unidade de CD/DVD 1
Aqui selecionamos nosso arquivo ISO Win10_8_Sergei… que carregamos.
O estado final será o seguinte. Escolhemos nosso arquivo ISO. As opções Conectar e Conectar ao ligar estão ativas. Agora fazemos Next e Finish. Em seguida, iniciamos nosso servidor virtual e o abrimos.
Quando abrimos o servidor virtual, aparece esta tela. Com o Boot USB Sergei Strelec Win10 selecionado no topo, continuamos com Enter.
Janelas abertas. Agora abrimos o programa Windows Disk Management na área de trabalho.
Veremos uma tela como esta, escolhemos diretamente a opção OK.
Como você pode ver, ele ficou online em 2 discos. Se você se lembra, fiz 50GB, meu novo disco, que é o Disco 0, onde farei os backups. Se o Disk1 inferior tiver 30 GB, é meu disco .vmdk. Tenha cuidado aqui, não se comprometa com o disco errado.Clique com o botão direito no disco 0 e escolha New Simple Volume. Sempre faço o seguinte na tela que aparece e finalizo.
Como você pode ver, tenho 50 GB de espaço no disco local C. Agora vou salvar meus arquivos aqui.
I Clique no logotipo inferior esquerdo do Windows > Recuperação de dados > Abro o R-Studio 8.16.
Quando abro o programa, vejo uma tela como a abaixo. Como você pode ver, o VMware Virtual Disk 2.0 tem 30 GB, então este é meu arquivo .vmdk. Clico com o botão direito do mouse em Empty Space10 (como Size Empty Spacexxx) e faço a pesquisa de partição.
Após o término do processo, aparecerá uma tela como esta. Eu reconheci0 e reconheci1. Este número pode ser muito alto para você. Clique duas vezes no que for mais alto. Meu Recognized1 tem 26 GB, como você pode ver, então meu sistema principal está aqui. Eu clico duas vezes nele e o abro.
Como você pode ver, .vmdk está aberto. Agora você pode recuperar qualquer arquivo ou recuperação completa a partir daqui.
Por exemplo, desejo recuperar apenas 1 arquivo. Há um arquivo .bin chamado Cyber em casa, quero importá-lo. Clico na caixa no início do arquivo que desejo recuperar e clico em Recuperar Marcado.
Aparecerá uma tela como a abaixo. Pasta de saída é onde eu transfiro o arquivo. … eu clico na caixa
A partir daqui, vou para o Disco local C e digo Selecionar pasta. Se você se lembra, abrimos como 50 GB e dissemos que transferiríamos os arquivos para cá. É por isso que escolhi este lugar.
Escolhi a pasta de saída como C:, agora pressiono o botão Ok e pronto.
Após o término do processo, o arquivo que escolhi veio para o Disco local C, conforme visto.
Se você deseja recuperar completamente todos os arquivos, clique no botão Recuperar diretamente como abaixo.
A pasta de saída deve ser C: da mesma forma, marque as caixas abaixo e finalize com “OK”.
Se você vir um aviso como o seguinte durante o processo. Marque a caixa “Aplicar a resposta a todos os arquivos recuperados” e clique em Renomear.
Após o término do processo, você poderá ver seus arquivos no Disco Local C.
Depois de recuperar seus arquivos, dê a este Windows aberto um endereço IP no painel de controle. Você pode usá-lo como um Windows normal. Você pode arquivar seus arquivos e enviá-los para um local como o Google Drive a partir do navegador, depois de ativar a Área de Trabalho Remota, você pode obter seus arquivos conectando-se, conecte-se com Anydesk ou teamviewer, ou conecte-se a um FTP com o programa FileZilla (pré -instalado no Windows) e carregue seus arquivos. Este Windows é uma versão do Windows 10 que não requer instalação e contém muitos programas. Depois de recuperar seus arquivos, você pode usá-lo como um Windows normal.
– Links úteis e relacionados sobre vulnerabilidade
- https://www.vmware.com/security/advisories/VMSA-2021-0002.html
- https://kb.vmware.com/s/article/76372 (desativando o serviço SLP)
- https://kb.vmware.com/s/article/1002511 (recriar arquivo descritor vmdk)
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/
- https://www.cvedetails.com/cve/CVE-2020-3992/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21974
- https://blog.ovhcloud.com/ransomware-targeting-vmware-esxi/
- https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/
- https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-DFA67697-232E-4F7D-860F-96C0819570A8.html
- https://atherbeg.com/2013/06/06/how-to-recover-virtual-machines-with-corrupt-snapshots/
- https://www.nerohacks.com/esxiargs-args-extension
- https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/
Fonte: https://enes.dev/
