چگونه سرورهای ESXi سازمان خود را در مقابل حملات باج افزاری تحت لینوکس ایمن نمائیم ؟

با توجه به گسترش حملات باج افزاری لینوکسی تحت ESXi در این مقاله به نکات امنیتی این بستر مجازی سازی خواهیم پرداخت. در این سبک حملات هکر کنترل ESXi را در سطح root بدست گرفته و کلیه ماشین های مجازی را تخریب میکند. براي اطلاعات بيشتر  بر روي ادامه خبر كليك نمائيد.

▪️ اولین اصل امنیت ESXi همان Vlan بندی است ! یعنی IP مربوط به ESXi در Vlan مجزایی از سرورها و کلاینت ها قرار گرفته باشد و تنها سیستم های مشخصی به IP اصلی ESXi و سامانه های مدیریتی آن دسترسی داشته باشند. نباید کلیه سیستم ها و سرورها به IP اصلی ESXi دسترسی داشته باشند. همچنین هیچ یک از پورتهای مدیریتی ESXi روی اینترنت پابلیش نشود.

▪️ سرویس های ESXi Shell و SSH باید در حالت عادی غیر فعال باشد و فقط در مواقع نیاز فعال شده و بلافاصله غیر فعال گردد. ESXi Shell خط فرمان محلی ESXi میباشد و SSH این خط فرمان را به صورت ریموت در اختیار شما قرار میدهد. پورت پیش فرض SSH روی 22 است لذا اگر پورت 22 سرور ESXi شما باز است یعنی SSH سرور فعال میباشد

راهنمای این کار :

https://www.geekboy.pro/%D9%86%D8%AD%D9%88%D9%87-%D9%81%D8%B9%D8%A7%D9%84-%D8%B3%D8%A7%D8%B2%DB%8C-ssh-%D9%88-esxi-shell-%D8%AF%D8%B1-vmware/

▪️ گزینه Lockdown Mode را در ESXi خود فعال نمائید . در این حالت تمام دسترسی های راه دور (Remote) به هاست ESXI مسدود می شود و تنها از طریق vSphere vCenter , DCUI می توانید به ESXi دسترسی داشته باشید.

▪️ از اکانت های مدیر شبکه دامین برای ورود و دسترسی به ESXi یا vSphere استفاده نکنید. در حملات اتفاق افتاده ، هکرها دسترسی Administrator را در اختیار دارند و به راحتی وارد ESXi خواهند شد.

▪️ از پسورد های ساده برای اکانت root سرورهای ESXi استفاده ننمائید و اصول امنیتی پسورد های قوی را رعایت نمائید.

▪️ سرورهای vCenter، ESXi و VMware Tools را به محض انتشار پچ های امنیتی ، آپدیت و وصله نمائید.

▪️ در حملات باج افزاری تحت ESXi فقط و فقط آپدیت آفلاین میتواند شما را از جهنم ایجاد شده رهایی دهد. لذا سامانه های بکاپ آفلاین خود را تقویت نموده و صحت بکاپ های گرفته شده را بررسی نمائید.

▪️ در این سبک حملات، هکر خود را به هر روشی به داخل شبکه میرساند و سپس با اسکن شبکه و پورتهای باز سرورها ، ESXi شما را یافته و برای ورود به آن تلاش میکند . هکرها برای به دست آوردن پسورد ESXi از نرم افزارهایی مانند Mimikatz در سیستم های تحت کنترل خود استفاده میکنند.

▪️ روش های نفوذ اولیه هکر در شبکه میتواند یکی از موارد زیر باشد :

‼️ باز بودن پورت های آسیب پذیر و قابل نفوذ روی اینترنت همانند RDP,SQL,Oracle,Exchange Web و ...

‼️ استفاده از نرم افزار های آسیب پذیر یا کرک شده در لبه شبکه و انتشار آنها به صورت آنلاین که به هکر دسترسی RCE بدهد

‼️ ارسال فایل های آلوده Word یا Excel از طریق ایمیل یا Usb برای کاربران

‼️ استفاده از سیستم های آلوده و فاقد آنتی ویروس در شبکه به عنوان سیستم زامبی و تسخیر شده

‼️ نفوذ به سیستم کاربران شبکه از طریق وب سایت های آلوده و جعلی

‼️ آلوده کردن و تسخیر سیستم های شبکه با کرک های جعلی از طریق سایت های ساختگی و ...

▪️ برای اطلاع از اخبار امنیتی حتما در کانال تلگرام @KamiranChannel عضو شوید و یا برای دریافت اخبار مهم از طریق واتساپ عدد 11 را به شماره 09302700800 واتساپ نمائید.

▪️ در صورت وجود هر گونه سوال در این خصوص با مرکز پشتیبانی کامیران با شماره 02147251 ، تلگرام @KamiranSupport یا واتساپ 09332050007 ارتباط برقرار نمائید.

با تشكر
  لابراتوآر ویروس شناسی شركت مهندسي كاميران
__________________________________________

مرتبط با موضوع :

 آسیب پذیری روز صفر CVE-2021-40444

 آنالیز فنی حمله راه آهن و وزارت راه

 آسیب پذیری روز صفر حیاتی PrintNightmare

 کشف 4 آسیب پذیری در اکسچنج

 آسیب پذیری 17 ساله Windows DNS Server