Seleccionar página

Rompiendo el molde: Deteniendo el Código de un Hacker ep. 10 – Ataques masivos de ransomware ESXiArgs

Introducción

VMware ESXi es un hipervisor de virtualización muy popular en todo el mundo. Recientemente, los servidores ESXi que no están parcheados contra una vulnerabilidad de ejecución remota de código de dos años de antigüedad – la vulnerabilidad Open Service Location Protocol (OpenSLP) (CVE-2021-21974) – han sido objeto de ataques masivos de ransomware.

Vulnerabilidad

Los ataques de ransomware utilizan CVE-2021-21974 como vector de compromiso, que es una vulnerabilidad de desbordamiento de heap en el servicio OpenSLP. Es probable que el atacante identifique hosts con vulnerabilidades OpenSLP mediante un escaneado. Entonces, estando dentro del mismo segmento de red que los servidores objetivo, el atacante es capaz de acceder al puerto 427, desencadenar el problema de desbordamiento de heap, y ejecutar código de forma remota, con el fin de desplegar un nuevo ransomware ESXiArgs.

El atacante crea archivos en los servidores vulnerados: encrypt (el ejecutable ELF del cifrador), encrypt.sh (un script de shell que realiza varias tareas antes de ejecutar el cifrador), public.pem (una clave RSA pública utilizada para cifrar la clave que cifra un archivo), motd (la nota de rescate en forma de texto) e index.html (la nota de rescate en forma de HTML). Una vez ejecutado el cifrador, se cifrarán todos los archivos con las extensiones .vmxf, .vmx, .vmdk, .vmsd y .nvram de los servidores ESXi comprometidos.

Versión afectada

7.0 antes de ESXi70U1c-17325551

6.7 antes de ESXi670-202102401-SG

6.5 antes de ESXi650-202102101-SG

Solución

1. Solución oficial: VMware ha publicado los parches y recomendamos a los usuarios que actualicen a la última versión.

2. Solución provisional: Mitigue este riesgo desactivando el servicio SLP en VMware ESXi. Visite:

https://kb.vmware.com/s/article/76372

Implementación de la solución

Hillstone Networks ha recopilado información sobre la vulnerabilidad CVE-2021-21974.

Figura 1. Información sobre la vulnerabilidad CVE-2021-21974

Hillstone Networks ha actualizado la base de datos de firmas IPS para defenderse contra la vulnerabilidad CVE-2021-21974. Basado en esto, el Hillstone Networks Next Generation Firewall (NGFW), Hillstone Networks Intrusion Prevention System (IPS) , y Hillstone Server Breach Detection System (sBDS) pueden apoyar la detección y protección de esta vulnerabilidad.

Por otra parte, sBDS puede apoyar la detección y protección de ataques de ransomware.

El iSource de Hillstone Networks puede ayudar en la respuesta a eventos de amenaza causados por esta vulnerabilidad en asociación con sBDS.

WAF 3.5: Protección Más Inteligente y Mejor Gestión

WAF 3.5 Protección Más Inteligente y Mejor Gestión
abril 14, 2025 | Junyi Duanmu
Cuando se trata de seguridad web, mantenerse por delante a la evolución de las amenazas representa una gran ventaja para las organizaciones. Las amenazas cibernéticas evolucionan...

iSource 2.0R13: El Próximo Gran Paso en Operaciones de Seguridad Unificadas

iSource 2.0R13 El Próximo Gran Paso en Operaciones de Seguridad Unificadas
abril 10, 2025 | Junyi Duanmu
Ya sea que estés lidiando con herramientas de seguridad fragmentadas, investigando incidentes o asegurando un entorno multinube, iSource 2.0R13 viene cargado de potentes mejoras...

iSource 2.0R12: Desbloqueando Nuevas Capacidades para la Gestión de TI
diciembre 6, 2024 | Junyi Duanmu
Gestionar activos y flujos de trabajo de manera eficiente es un desafío constante, especialmente para organizaciones grandes con infraestructuras de TI complejas. Por eso,...

Mejorando tu Estrategia de Seguridad: Novedades en las Últimas Versiones de BDS
noviembre 21, 2024 | Junyi Duanmu
En un mundo donde las amenazas evolucionan tan rápido como la tecnología de la que dependemos, Hillstone Networks está elevando el estándar con las nuevas versiones de BDS. Estas...

HSM 5.6.0: Llevando la Gestión Centralizada al Siguiente Nivel

HSM 5.6.0 Llevando la Gestión Centralizada al Siguiente Nivel
noviembre 6, 2024 | Junyi Duanmu
Como alguien que ha pasado años en el campo de la ciberseguridad, estoy realmente emocionado de guiarte a través del último lanzamiento de HSM 5.6.0. Esta actualización está...

StoneOS R11: Revolucionando la Seguridad de Redes para la Empresa Moderna

StoneOS R11: Revolucionando la Seguridad de Redes para la Empresa Moderna
octubre 10, 2024 | Junyi Duanmu
¡Hola a todos los entusiastas de la ciberseguridad y profesionales de TI! Hillstone Networks acaba de lanzar su última novedad: StoneOS R11, cargado con funciones diseñadas para...

Presentamos los Nuevos Modelos NIPS de Hillstone: Abordando los Desafíos de Seguridad Empresarial con Soluciones Escalables

Abordando los Desafíos de Seguridad Empresarial con Soluciones Escalables
octubre 8, 2024 | JieHong Ding
A medida que la tecnología avanza y las empresas crecen, asegurar una infraestructura de red cada vez más compleja y en expansión se vuelve más desafiante. Las empresas deben...

Solución NDR: Mejora tu Seguridad con la Tecnología Impulsada por IA de Hillstone
junio 20, 2024 | Laura Diaz
¿Te has preguntado cómo las grandes empresas mantienen su red segura frente a las amenazas cibernéticas más avanzadas? La respuesta está en la vanguardia de la tecnología:...

Rompiendo el molde: Deteniendo el Código de un Hacker ep. 22 – China Telecom Gateway Configuration Management Backend ipping.php Vulnerabilidad de Ejecución Remota de Código
junio 19, 2024 | Junyi Duanmu
China Telecom Group Limited es una gran empresa de telecomunicaciones de China. En mayo de 2024, se descubrió una vulnerabilidad de seguridad crítica en el backend de gestión de...