Fecha de publicación: Jue, 09/02/2023 - 09:40

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

En los últimos días, más de 1000 servidores fueron afectados por el denominado "Ransomware VMWare ESXi". El ataque mayormente se concentra en Europa causando pánico en Francia, ataque al que llamaron: "Campaña de explotación de una vulnerabilidad de VMWare ESXi". 

El ataque se enfoca en 2 vulnerabilidades que fueron documentadas y parchadas hace aproximadamente 2 años, por tanto no es una vulnerabilidad de día cero. La explotación exitosa permitiría el secuestro de archivos, el robo de datos, criptominería, keylogging, envenenamiento de base de datos, distribución de malware y envío de SPAM.

El ataque se denomina "ESXI ransomware" o "ESXiArgs ransomware", malware de propósito general. Uno es un shell  script y el otro un archivo ejecutable de Linux. 

Según el CERT de Francia, las dos vulnerabilidades que se deben tener en cuenta son:

 

CVE-2021-21974 Vulnerabilidad de desbordamiento de almacenamiento dinámico en ESXi OpenSLP

Un atacante malicioso dentro del mismo segmento de red de ESXi, que tenga acceso al puerto 427, tiene la capacidad de generar un problema de
"desbordamiento-de-pila" en el servicio OpenSLP resultando en una Ejecución Remota de Código (RCE)

 

CVE-2020-3992 Vulnerabilidad: Ejecución de Código Remoto en ESXi OpenSLP

Un atacante malicioso dentro de la red de administración y que tenga acceso al puerto 427 en una máquina ESXi es capaz de generar "uso-después-de-liberación" en el servicio OpenSLP resultando en una Ejecución Remota de Código (RCE).

 

En ambos casos, el anuncio oficial de VMWare fue parchar si es posible o, en caso que no se pueda actualizar aún entonces, deshabilitar el servicio SLP en los dispositivos afectados.

Una vez que el ataque Args obtiene acceso procede a:

  • Apagar las máquinas virtuales que están activas,
  • Exportar una lista de archivos del sistema ESXi,
  • Encontrar los archivos importantes de VMWare de cada volumen y, finalmente,
  • Cifrar cada archivo encontrado.

Recursos afectados

  • A CVE-2021-21974 son: ESXi 7.0, ESXi 6.7 y ESXi 6.5
  • A CVE-2020-3992 son: ESXi 7.0, ESXi 6.7, ESXi 6.5, VMware Cloud Fundation (ESXi) 4.x y VMware Cloud Foundation (ESXi) 3.x

Solución/Mitigación

Actualizar de manera urgente con parches oficiales en:

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

https://www.vmware.com/security/advisories/VMSA-2020-0023.html

Indicadores de compromiso

Si fue afectado por el ataque encontrará la nota de rescate en "/etc/motd" o en "/usr/lib/vmware".

Solución

En caso de que haya sido víctima del ataque "Ransomware VMWare ESXi" puede intentar recuperar (desencriptar) la información comprometida con la guía expuesta en:

https://github.com/cisagov/ESXiArgs-Recover

Referencias

Sophos

VMSA-2021-0002

VMSA-2020-0023

ESXiArgs-Recover