Nueva ola de ataques de ransomware que aprovechan la vulnerabilidad de VMware para atacar servidores ESXi
AS-010-2023
Fecha: 05/Feb/2023
Notificado por: Correo- CORREO HAYANI NASSIM-FIRST
Resumen:
Los hipervisores VMware ESXi son el objetivo de una nueva ola de ataques diseñados para implementar ransomware en sistemas comprometidos.
Estas campañas explotan la vulnerabilidad CVE-2021-21974, para la cual hay un parche disponible desde el 23 de febrero de 2021, según lo que registra en su anuncio el Equipo de Respuesta a Emergencias Informáticas (CERT) de Francia.
VMware, en su propia alerta publicada, describió el problema como una vulnerabilidad de desbordamiento de pila de OpenSLP que podría conducir a la ejecución de código arbitrario.
Un actor malicioso que reside dentro del mismo segmento de red que ESXi que tiene acceso al puerto 427 puede desencadenar el problema de desbordamiento de pila en el servicio OpenSLP, lo que resulta en la ejecución remota de código, señaló el proveedor de servicios de virtualización .
Versiones afectadas.
CERT-FR recuerda que la vulnerabilidad CVE-2021-21974 afecta a los siguientes sistemas:
Versiones de ESXi 7.x anteriores a ESXi70U1c-17325551
Versiones de ESXi 6.7.x anteriores a ESXi670-202102401-SG
Versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG
Zona de ataque.
El proveedor francés de servicios en la nube OVHcloud dijo que los ataques se están detectando a nivel mundial con un enfoque específico en Europa. Se sospecha que las intrusiones están relacionadas con una nueva cepa de ransomware basada en Rust llamada Nevada que apareció en escena en diciembre de 2022.
Otras familias de ransomware que se sabe que han adoptado Rust en los últimos meses incluyen BlackCat, Hive, Luna, Nokoyawa, RansomExx y Agenda.
Recomendaciones.
Se recomienda a los usuarios que actualicen a la última versión de ESXi para mitigar posibles amenazas y restringir el acceso al servicio OpenSLP a direcciones IP de confianza.
Referencias:
