Seleccionar página

Introducción

VMware ESXi es un hipervisor de virtualización muy popular en todo el mundo. Recientemente, los servidores ESXi que no están parcheados contra una vulnerabilidad de ejecución remota de código de dos años de antigüedad – la vulnerabilidad Open Service Location Protocol (OpenSLP) (CVE-2021-21974) – han sido objeto de ataques masivos de ransomware.

Vulnerabilidad

Los ataques de ransomware utilizan CVE-2021-21974 como vector de compromiso, que es una vulnerabilidad de desbordamiento de heap en el servicio OpenSLP. Es probable que el atacante identifique hosts con vulnerabilidades OpenSLP mediante un escaneado. Entonces, estando dentro del mismo segmento de red que los servidores objetivo, el atacante es capaz de acceder al puerto 427, desencadenar el problema de desbordamiento de heap, y ejecutar código de forma remota, con el fin de desplegar un nuevo ransomware ESXiArgs.

El atacante crea archivos en los servidores vulnerados: encrypt (el ejecutable ELF del cifrador), encrypt.sh (un script de shell que realiza varias tareas antes de ejecutar el cifrador), public.pem (una clave RSA pública utilizada para cifrar la clave que cifra un archivo), motd (la nota de rescate en forma de texto) e index.html (la nota de rescate en forma de HTML). Una vez ejecutado el cifrador, se cifrarán todos los archivos con las extensiones .vmxf, .vmx, .vmdk, .vmsd y .nvram de los servidores ESXi comprometidos.

Versión afectada

7.0 antes de ESXi70U1c-17325551

6.7 antes de ESXi670-202102401-SG

6.5 antes de ESXi650-202102101-SG

Solución

1. Solución oficial: VMware ha publicado los parches y recomendamos a los usuarios que actualicen a la última versión.

2. Solución provisional: Mitigue este riesgo desactivando el servicio SLP en VMware ESXi. Visite:

https://kb.vmware.com/s/article/76372

Implementación de la solución

Hillstone Networks ha recopilado información sobre la vulnerabilidad CVE-2021-21974.

Figura 1. Información sobre la vulnerabilidad CVE-2021-21974

Hillstone Networks ha actualizado la base de datos de firmas IPS para defenderse contra la vulnerabilidad CVE-2021-21974. Basado en esto, el Hillstone Networks Next Generation Firewall (NGFW), Hillstone Networks Intrusion Prevention System (IPS) , y Hillstone Server Breach Detection System (sBDS) pueden apoyar la detección y protección de esta vulnerabilidad.

Por otra parte, sBDS puede apoyar la detección y protección de ataques de ransomware.

El iSource de Hillstone Networks puede ayudar en la respuesta a eventos de amenaza causados por esta vulnerabilidad en asociación con sBDS.

Hillstone Networks ha sido reconocida por su solución CloudArmour en Gartner® «Emerging Tech: Security – Adoption Growth Insights for Cloud Workload Protection Platforms»

¿Se toma su organización en serio la protección de aplicaciones?

¿Se toma su organización en serio la protección de aplicaciones

Encuesta: La protección en la nube no es tan importante como el gasto en la nube

Encuesta La protección en la nube no es tan importante como el gasto en la nube

Expertos en ciberseguridad advierten que PlugX está de vuelta… De nuevo

Expertos en ciberseguridad advierten que PlugX está de vuelta... De nuevo

La TSA fuerza un nuevo énfasis en ciberseguridad en el sector de la aviación

Hillstone ADC V3.2: Controlador de Entrega de Aplicaciones sólido y simplificado

Rompiendo el molde: Deteniendo el código de un hacker ep. 12 – Anulación de la autenticación de Alibaba Nacos

Sistema de prevención de intrusiones en la red V4.6 Detenga las amenazas antes de que causen estragos

Los 3 aspectos en los que ningún Firewall Moderno (NGFW) debería hacer concesiones

3 aspectos en los que ningún cortafuegos moderno debería hacer concesiones