Una vulnerabilidad de desbordamiento de montón de dos años en los hipervisores VMware ESXi parece haber llamado la atención de un operador de ransomware que apunta indiscriminadamente a sistemas sin parches en lo que tiene el potencial de convertirse en un incidente grave, y ya puede haber cobrado más de 300 víctimassegún las advertencias.
Rastreada como CVE-2021-21974, la vulnerabilidad existe en la forma en que VMware ESXi procesa los mensajes del protocolo de ubicación de servicio (SLP) y se deriva de la falta de validación de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón. Si no se trata, permite que un atacante no autenticado ejecute acciones arbitrarias.
En una alerta emitida inmediatamente antes del fin de semana del 4 al 5 de febrero, el equipo nacional de respuesta a emergencias informáticas (CERT) de Francia, CERT-FR, dijo: “El 3 de febrero de 2023, CERT-FR se enteró de campañas de ataque dirigidas a hipervisores VMware ESXi con el objetivo de implementar ransomware en ellos. Estas campañas de ataque parecen explotar la vulnerabilidad CVE-2021-21974, para la cual hay un parche disponible desde el 23 de febrero de 2021.
“CERT-FR recomienda aplicar sin demora la solución alternativa propuesta por el editor… que consiste en deshabilitar el servicio SLP en los hipervisores ESXi que no se han actualizado. CERT-FR recomienda enfáticamente aplicar todos los parches disponibles para el hipervisor ESXi”.
Sin embargo, agregó CERT-FR, la aplicación de un parche puede no ser suficiente, ya que es posible que un atacante ya haya explotado la vulnerabilidad para colocar código malicioso, por lo que los defensores también deben ejecutar un análisis completo del sistema al mismo tiempo.
Los sistemas a los que apunta el atacante en la campaña observada por CERT-FR son las versiones 6.x hasta 6.7 del hipervisor ESXi. Sin embargo, ESXi 7.x anterior a ESXi70U1c-17325551; ESXi 6.7.x anterior a ESXi670-202102401-SG; y ESXi 6.5.x anterior a ESXi650-202102101-S, también se sabe que son vulnerables.
Andy Norton, oficial europeo de riesgo cibernético de Armis, dijo: “El actual El ataque de VMware ESXi Ransomware es un incidente global importante. El impacto negativo potencial para las entidades que están expuestas es alto y se recomienda encarecidamente a todos los usuarios de VMWare ESXi que tomen medidas de inmediato.
“La mayoría de las entidades afectadas se encuentran repartidas por toda Europa. La especulación aún rodea quiénes son los malos actores en última instancia en este caso… sin embargo, la buena noticia es que existe una solución activa para la vulnerabilidad”.
Al igual que con cualquier vulnerabilidad que afecte las líneas ESXI de VMware, CVE-2021-21974 tiene un potencial de interrupción superior al promedio debido al gran volumen de otras aplicaciones y sistemas a los que se puede acceder. Aquellos que se perdieron el aviso de 2021 o decidieron no parchear ahora deben hacerlo sin falta.
El ransomware en cuestión parece ser una nueva cepa que se ha denominado ESXIArgs y, según algunos análisis iniciales, puede estar basado en el código fuente filtrado de Babuk. Los analistas de OVHCloud, que también han estado siguiendo la campaña, dijeron que en algunos casos se ha visto que el proceso por el cual ESXIArgs cifra los archivos de sus víctimas falla parcialmente, lo que significa que es posible recuperar los datos en algunos casos.
Stefan van der Wal, ingeniero de soluciones de consultoría de EMEA para seguridad de aplicaciones en Barracuda Networks, comentó: “Esto destaca lo importante que es actualizar los sistemas de infraestructura de software clave lo más rápido posible. No siempre es fácil para las organizaciones actualizar el software. En el caso de este parche, por ejemplo, las organizaciones deben deshabilitar temporalmente partes esenciales de su infraestructura de TI. Pero es mucho mejor enfrentar eso que ser golpeado por un ataque potencialmente dañino.
“Las máquinas virtuales pueden ser objetivos atractivos para el ransomware, ya que a menudo ejecutan funciones o servicios críticos para el negocio, y un ataque exitoso podría causar una gran interrupción. Es particularmente importante asegurarse de que el acceso a la consola de administración de un sistema virtual esté protegido y no se pueda acceder fácilmente a través de una cuenta comprometida en la red corporativa, por ejemplo.
“Para proteger completamente la infraestructura virtual, es importante separarla del resto de la red comercial, idealmente como parte de un enfoque de confianza cero. Las organizaciones que implementen ESXi deben actualizarse inmediatamente a la última versión, si aún no lo han hecho, y realizar un análisis de seguridad completo de los servidores para asegurarse de que no se hayan visto comprometidos”, dijo van der Wal.