Seleccionar página

Rompiendo el molde: Deteniendo el Código de un Hacker ep. 10 – Ataques masivos de ransomware ESXiArgs

Introducción

VMware ESXi es un hipervisor de virtualización muy popular en todo el mundo. Recientemente, los servidores ESXi que no están parcheados contra una vulnerabilidad de ejecución remota de código de dos años de antigüedad – la vulnerabilidad Open Service Location Protocol (OpenSLP) (CVE-2021-21974) – han sido objeto de ataques masivos de ransomware.

Vulnerabilidad

Los ataques de ransomware utilizan CVE-2021-21974 como vector de compromiso, que es una vulnerabilidad de desbordamiento de heap en el servicio OpenSLP. Es probable que el atacante identifique hosts con vulnerabilidades OpenSLP mediante un escaneado. Entonces, estando dentro del mismo segmento de red que los servidores objetivo, el atacante es capaz de acceder al puerto 427, desencadenar el problema de desbordamiento de heap, y ejecutar código de forma remota, con el fin de desplegar un nuevo ransomware ESXiArgs.

El atacante crea archivos en los servidores vulnerados: encrypt (el ejecutable ELF del cifrador), encrypt.sh (un script de shell que realiza varias tareas antes de ejecutar el cifrador), public.pem (una clave RSA pública utilizada para cifrar la clave que cifra un archivo), motd (la nota de rescate en forma de texto) e index.html (la nota de rescate en forma de HTML). Una vez ejecutado el cifrador, se cifrarán todos los archivos con las extensiones .vmxf, .vmx, .vmdk, .vmsd y .nvram de los servidores ESXi comprometidos.

Versión afectada

7.0 antes de ESXi70U1c-17325551

6.7 antes de ESXi670-202102401-SG

6.5 antes de ESXi650-202102101-SG

Solución

1. Solución oficial: VMware ha publicado los parches y recomendamos a los usuarios que actualicen a la última versión.

2. Solución provisional: Mitigue este riesgo desactivando el servicio SLP en VMware ESXi. Visite:

https://kb.vmware.com/s/article/76372

Implementación de la solución

Hillstone Networks ha recopilado información sobre la vulnerabilidad CVE-2021-21974.

Figura 1. Información sobre la vulnerabilidad CVE-2021-21974

Hillstone Networks ha actualizado la base de datos de firmas IPS para defenderse contra la vulnerabilidad CVE-2021-21974. Basado en esto, el Hillstone Networks Next Generation Firewall (NGFW), Hillstone Networks Intrusion Prevention System (IPS) , y Hillstone Server Breach Detection System (sBDS) pueden apoyar la detección y protección de esta vulnerabilidad.

Por otra parte, sBDS puede apoyar la detección y protección de ataques de ransomware.

El iSource de Hillstone Networks puede ayudar en la respuesta a eventos de amenaza causados por esta vulnerabilidad en asociación con sBDS.

Hillstone Networks ha sido reconocida por su solución CloudArmour en Gartner® «Emerging Tech: Security – Adoption Growth Insights for Cloud Workload Protection Platforms»
mayo 30, 2023 | HaiDong Deng
La transformación digital sigue impulsando a las empresas hacia soluciones de seguridad que puedan satisfacerlas allí donde se ejecutan sus cargas de trabajo. Según el último...

¿Se toma su organización en serio la protección de aplicaciones?

¿Se toma su organización en serio la protección de aplicaciones
mayo 5, 2023 | Marketing Hillstone
Entre los muchos componentes que intervienen en la ciberseguridad y la protección contra amenazas, uno que no recibe mucha atención en los medios es la protección de...

Encuesta: La protección en la nube no es tan importante como el gasto en la nube

Encuesta La protección en la nube no es tan importante como el gasto en la nube
mayo 4, 2023 | Marketing Hillstone
Han pasado más de dos décadas desde la introducción de lo que ahora conocemos como Cloud Computing. Y, desde que tal computación en la nube se generalizó la seguridad ha sido una...

Expertos en ciberseguridad advierten que PlugX está de vuelta… De nuevo

Expertos en ciberseguridad advierten que PlugX está de vuelta... De nuevo
mayo 3, 2023 | Marketing Hillstone
Todo lo anterior respecto a ciberseguridad eventualmente vuelve de nueva cuenta. Las herramientas de hackeo exitosas nunca se retiran realmente, sino que simplemente se...

La TSA fuerza un nuevo énfasis en ciberseguridad en el sector de la aviación
mayo 2, 2023 | Marketing Hillstone
Los CIO y CISO en el sector de la aviación están al tanto de que la Administración de Seguridad de Transporte (TSA) quiere ver una mejor ciberseguridad en los aeropuertos y los...

Hillstone ADC V3.2: Controlador de Entrega de Aplicaciones sólido y simplificado
abril 3, 2023 | Junyi Duanmu
El ADC (Application Delivery Controller) de Hillstone Networks es un potente producto diseñado para gestionar el tráfico y mejorar la entrega de aplicaciones. La última versión,...

Rompiendo el molde: Deteniendo el código de un hacker ep. 12 – Anulación de la autenticación de Alibaba Nacos
| Junyi Duanmu
Introducción Alibaba Nacos es una plataforma fácil de usar diseñada para el descubrimiento dinámico de servicios, configuración y gestión de micro-servicios. Es una solución de...

Sistema de prevención de intrusiones en la red V4.6 Detenga las amenazas antes de que causen estragos
marzo 29, 2023 | Ferry Wang
La creciente complejidad de las redes está dando lugar a un número cada vez mayor de ciber-riesgos, algunos de los cuales se ocultan en el tráfico diario de la red sin ser...

Los 3 aspectos en los que ningún Firewall Moderno (NGFW) debería hacer concesiones

3 aspectos en los que ningún cortafuegos moderno debería hacer concesiones
marzo 24, 2023 | Marketing Hillstone
Los NGFW ya no son un lujo. Organizaciones de todos los tamaños y ámbitos confían en que sean utilizadospara proteger sus redes contra ataques externos. Pero la capacidad de...