ESXiArgsランサムウェア はVmware ESXiサーバーで使用されるOpenSLPサービスのヒープオーバーフロー（Heap Overflow）脆弱性を活用した新種のランサムウェアです。CVE-2021-21974とも呼ばれるこの脆弱性はRCE（Remote code execution、遠隔コード実行）攻撃ができるので多くの脅威アクターらが悪用し、脆弱性が発見されたのは2年が経ちました。2023年2月3日、初めてESXiArgsランサムウェアの被害が報告され、最近まで攻撃が続いています。 ESXi OpenSLPとは? SLPはService Location Protocolの略で、ネットワーク内で使用可能なサービスを職別し配置できるようにするサービス検索プロトコルです。VMWare ESXiを設置する際にSLPを使ってTCP/427及びUDP/427ポートを受信待機させます。SLPサービスは認証なしにアクセスができ、ルート権限で実行されるため、ESXi SLPサービスが脆弱な場合、事前認証によるリモートコード（pre-authentication remote code）がルートに実行されることがあります。 脆弱なSLPがまた悪用され始めてから VMWare ESXiではSLPを使用しないように除去するか、脆弱性の対象ではないバージョンにパッチするよう勧告しています。 現在、OpenSLP脆弱性の対象となるESXiバージョンは次の通りです。 CVE-2021-21974が影響を及ぼすESXiバージョン