Introducción
VMware ESXi es un hipervisor de virtualización muy popular en todo el mundo. Recientemente, los servidores ESXi que no están parcheados contra una vulnerabilidad de ejecución remota de código de dos años de antigüedad – la vulnerabilidad Open Service Location Protocol (OpenSLP) (CVE-2021-21974) – han sido objeto de ataques masivos de ransomware.
Vulnerabilidad
Los ataques de ransomware utilizan CVE-2021-21974 como vector de compromiso, que es una vulnerabilidad de desbordamiento de heap en el servicio OpenSLP. Es probable que el atacante identifique hosts con vulnerabilidades OpenSLP mediante un escaneado. Entonces, estando dentro del mismo segmento de red que los servidores objetivo, el atacante es capaz de acceder al puerto 427, desencadenar el problema de desbordamiento de heap, y ejecutar código de forma remota, con el fin de desplegar un nuevo ransomware ESXiArgs.
El atacante crea archivos en los servidores vulnerados: encrypt (el ejecutable ELF del cifrador), encrypt.sh (un script de shell que realiza varias tareas antes de ejecutar el cifrador), public.pem (una clave RSA pública utilizada para cifrar la clave que cifra un archivo), motd (la nota de rescate en forma de texto) e index.html (la nota de rescate en forma de HTML). Una vez ejecutado el cifrador, se cifrarán todos los archivos con las extensiones .vmxf, .vmx, .vmdk, .vmsd y .nvram de los servidores ESXi comprometidos.
Versión afectada
7.0 antes de ESXi70U1c-17325551
6.7 antes de ESXi670-202102401-SG
6.5 antes de ESXi650-202102101-SG
Solución
1. Solución oficial: VMware ha publicado los parches y recomendamos a los usuarios que actualicen a la última versión.
2. Solución provisional: Mitigue este riesgo desactivando el servicio SLP en VMware ESXi. Visite:
https://kb.vmware.com/s/article/76372
Implementación de la solución
Hillstone Networks ha recopilado información sobre la vulnerabilidad CVE-2021-21974.
Hillstone Networks ha actualizado la base de datos de firmas IPS para defenderse contra la vulnerabilidad CVE-2021-21974. Basado en esto, el Hillstone Networks Next Generation Firewall (NGFW), Hillstone Networks Intrusion Prevention System (IPS) , y Hillstone Server Breach Detection System (sBDS) pueden apoyar la detección y protección de esta vulnerabilidad.
Por otra parte, sBDS puede apoyar la detección y protección de ataques de ransomware.
El iSource de Hillstone Networks puede ayudar en la respuesta a eventos de amenaza causados por esta vulnerabilidad en asociación con sBDS.