Los administradores, los proveedores de alojamiento y el equipo francés de
respuesta a emergencias informáticas (CERT-FR)
están advirtiendo
que los atacantes
están atacando activamente
servidores VMware ESXi sin parches contra una
vulnerabilidad de ejecución remota de código (RCE) de dos años de
antigüedad
y luego instalan un ransomware.
Identificada como
CVE-2021-21974, la falla de seguridad es causada por un problema de desbordamiento de pila
en el servicio OpenSLP (puerto 427) que puede ser explotado por actores de
amenazas no autenticados en ataques de baja complejidad.
«Las campañas parecen estar explotando la vulnerabilidad CVE-2021-21974,
para la cual hay un parche disponible desde el 23 de febrero de 2021», dijo CERT-FR.«Los sistemas objetivo actualmente serían los hipervisores ESXi en la
versión 6.x y anteriores a la 6.7».
Para bloquear los ataques entrantes, los administradores deben deshabilitar el servicio vulnerable del Service Location Protocol (SLP)
en los hipervisores ESXi que aún no se han actualizado.
CERT-FR recomienda encarecidamente aplicar el parche lo antes posible, pero
agrega que los sistemas que no se hayan parcheado también deben escanearse
para buscar signos de compromiso.
CVE-2021-21974 afecta a los siguientes sistemas:
- Versiones de ESXi 7.x anteriores a ESXi70U1c-17325551
- Versiones de ESXi 6.7.x anteriores a ESXi670-202102401-SG
- Versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG
El proveedor de nube francés
OVHcloud también ha publicado hoy un informe
que vincula esta ola masiva de ataques dirigidos a servidores VMware ESXi con
la operación de ransomware Nevada. «Según los expertos, estos ataques podrían estar relacionados con el
ransomware Nevada y están utilizando CVE-2021-21974 como vector de
compromiso. La investigación aún está en curso para confirmar esas
suposiciones», dijo el CISO de OVHcloud, Julien Levrard «El ataque está dirigido principalmente a servidores ESXi en una versión
anterior a 7.0 U3i, aparentemente a través del puerto OpenSLP (427)».
Al menos 120 servidores VMware ESXi en todo el mundo ya se han visto
comprometidos en esta campaña de ransomware, según una
búsqueda de Shodan.
Nuevo ransomware ESXiArgs
Sin embargo, a partir de las notas de rescate vistas en este ataque, no
parecen estar relacionadas con Nevada Ransomware y parecen ser de una nueva
familia de ransomware.
Desde hace aproximadamente cuatro horas, las víctimas afectadas por esta
campaña también han comenzado a denunciar los ataques en el
foro de BleepingComputer, solicitando ayuda y más información sobre cómo recuperar sus datos.
El ransomware cifra los archivos con las extensiones
.vmxf, .vmx, .vmdk, .vmsd y .nvram en servidores ESXi comprometidos y
crea un archivo .args para cada documento cifrado con metadatos
(probablemente necesarios para el descifrado).
Si bien los actores de amenazas detrás de este ataque afirman haber robado
datos, una víctima informó en los foros de BleepingComputer que ese no fue el
caso en su incidente.
«Nuestra investigación ha determinado que los datos no han sido
infiltrados. En nuestro caso, la máquina atacada tenía más de 500 GB de
datos, pero el uso diario típico de solo 2 Mbps. Revisamos las estadísticas
de tráfico de los últimos 90 días y no encontramos evidencia de datos
salientes. transferencia»,
dijo el administrador.
Las víctimas también han encontrado notas de rescate denominadas
«ransom.html»
y «How to Restore Your Files.html» en los sistemas bloqueados. Otros
dijeron que sus notas son archivos de texto sin formato.
Michael Gillespie de ID Ransomware actualmente
está rastreando el ransomware bajo el nombre ‘ESXiArgs’, pero le dijo a BleepingComputer que hasta que podamos encontrar una
muestra, no hay forma de determinar si tiene alguna debilidad en el cifrado.
BleepingComputer tiene un
tema de soporte dedicado
donde las personas informan sus experiencias con este ataque.
CISA ha publicado una guía de recuperación para este ransomware
«ESXiArgs Ransomware Virtual Machine Recovery Guidance».
Fuente:
BC
Los comentarios están cerrados.