Lanzamiento de productos Noticias de la industria Notificación de vulnerabilidad Productos Seguridad de la red

Rompiendo el molde: Deteniendo el Código de un Hacker ep. 10 – Ataques masivos de ransomware ESXiArgs

Introducción

VMware ESXi es un hipervisor de virtualización muy popular en todo el mundo. Recientemente, los servidores ESXi que no están parcheados contra una vulnerabilidad de ejecución remota de código de dos años de antigüedad – la vulnerabilidad Open Service Location Protocol (OpenSLP) (CVE-2021-21974) – han sido objeto de ataques masivos de ransomware.

Vulnerabilidad

Los ataques de ransomware utilizan CVE-2021-21974 como vector de compromiso, que es una vulnerabilidad de desbordamiento de heap en el servicio OpenSLP. Es probable que el atacante identifique hosts con vulnerabilidades OpenSLP mediante un escaneado. Entonces, estando dentro del mismo segmento de red que los servidores objetivo, el atacante es capaz de acceder al puerto 427, desencadenar el problema de desbordamiento de heap, y ejecutar código de forma remota, con el fin de desplegar un nuevo ransomware ESXiArgs.

El atacante crea archivos en los servidores vulnerados: encrypt (el ejecutable ELF del cifrador), encrypt.sh (un script de shell que realiza varias tareas antes de ejecutar el cifrador), public.pem (una clave RSA pública utilizada para cifrar la clave que cifra un archivo), motd (la nota de rescate en forma de texto) e index.html (la nota de rescate en forma de HTML). Una vez ejecutado el cifrador, se cifrarán todos los archivos con las extensiones .vmxf, .vmx, .vmdk, .vmsd y .nvram de los servidores ESXi comprometidos.

Versión afectada

7.0 antes de ESXi70U1c-17325551

6.7 antes de ESXi670-202102401-SG

6.5 antes de ESXi650-202102101-SG

Solución

1. Solución oficial: VMware ha publicado los parches y recomendamos a los usuarios que actualicen a la última versión.

2. Solución provisional: Mitigue este riesgo desactivando el servicio SLP en VMware ESXi. Visite:

https://kb.vmware.com/s/article/76372

Implementación de la solución

Hillstone Networks ha recopilado información sobre la vulnerabilidad CVE-2021-21974.

Figura 1. Información sobre la vulnerabilidad CVE-2021-21974

Hillstone Networks ha actualizado la base de datos de firmas IPS para defenderse contra la vulnerabilidad CVE-2021-21974. Basado en esto, el Hillstone Networks Next Generation Firewall (NGFW), Hillstone Networks Intrusion Prevention System (IPS) , y Hillstone Server Breach Detection System (sBDS) pueden apoyar la detección y protección de esta vulnerabilidad.

Por otra parte, sBDS puede apoyar la detección y protección de ataques de ransomware.

El iSource de Hillstone Networks puede ayudar en la respuesta a eventos de amenaza causados por esta vulnerabilidad en asociación con sBDS.

Seguridad de Redes Avanzada en Hillstone Networks: Adaptándonos a las Nuevas Amenazas Cibernéticas

por Laura Diaz | Mar 11, 2024 | Seguridad de la red

Rompiendo el molde: Deteniendo el código de un hacker ep. 19 – RCE CVEs 2023

por Xun Liu | Mar 8, 2024 | Noticias de la industria, Notificación de vulnerabilidad

iSource 2.0R11: Seguridad más completa e Integrada

por Junyi Duanmu | Feb 29, 2024 | Lanzamiento de productos

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Siempre activado

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional

Performance

Analytics

Others