Ransomware abusa de vulnerabilidades en VMWare ESXi (Parchea!)

Al menos una banda importante de ransomware está abusando de las vulnerabilidades del producto VMWare ESXi para tomar el control de máquinas virtuales implementadas en entornos empresariales y cifrar sus discos duros virtuales.

Los ataques fueron vistos por primera vez en octubre pasado y se han relacionado con intrusiones llevadas a cabo por un grupo delictivo que implementó el ransomware RansomExx.

Según varios investigadores de seguridad que hablaron con ZDNet, la evidencia sugiere que los atacantes utilizaron CVE-2019-5544 y CVE-2020-3992, dos vulnerabilidades en VMware ESXi, una solución de hipervisor que permite que múltiples máquinas virtuales compartan el mismo almacenamiento de disco duro.

Ambos errores afectan el Service Location Protocol (SLP), un protocolo utilizado por dispositivos en la misma red para descubrirse entre sí; también se incluye con ESXi. Las vulnerabilidades permiten a un atacante en la misma red enviar solicitudes SLP maliciosas a un dispositivo ESXi y tomar el control de él, incluso si el atacante no ha logrado comprometer el servidor VMWare vCenter al que suelen informar las instancias ESXi.

En los ataques que tuvieron lugar el año pasado, se ha visto a la banda RansomExx obteniendo acceso a un dispositivo en una red corporativa y abusando de este punto de entrada inicial para atacar instancias ESXi locales y cifrar sus discos virtuales, que se utilizan para almacenar datos de entre máquinas virtuales. Esto causa interrupciones masivas a las empresas, ya que los discos virtuales ESXi generalmente se utilizan para centralizar datos de muchos otros sistemas.

Los informes de estos ataques se documentaron en Reddit, Twitter y fueron presentados en una conferencia de seguridad. Por ahora, solo se ha visto a la pandilla RansomExx (también conocida como Defray777) abusando de esta vulnerabilidad, pero en una misteriosa actualización el mes pasado, el operador del ransomware Babuk Locker también anunció una característica inquietantemente similar, aunque aún no se han confirmado ataques exitosos.

Además, los actores de amenazas también han observado la venta de acceso a instancias de ESXi en foros clandestinos de ciberdelincuencia el año pasado, según la firma de inteligencia de amenazas KELA. Dado que las bandas de ransomware a menudo trabajan con agentes de acceso inicial para sus puntos de entrada iniciales dentro de las organizaciones, esto también podría explicar por qué ESXi estuvo vinculado a algunos ataques de ransomware el año pasado.

Se recomienda a los administradores de sistemas de las empresas que dependen de VMWare ESXi para administrar el espacio de almacenamiento utilizado por sus máquinas virtuales que apliquen los parches ESXi necesarios o deshabiliten el soporte SLP para evitar ataques si el protocolo no es necesario.

Fuente: ZDNet

Suscríbete a nuestro Boletín