Campanya d'explotació de vulnerabilitats de VMware ESXi

Crítica alerta 5

Avís d'una campanya d'explotació de vulnerabilitats que ha tingut com a objectiu servidors VMware ESXi, sistema operatiu que pot allotjar diverses màquines virtuals. Aquests atacs aprofiten una vulnerabilitat descoberta l'any 2021, catalogada sota el CVE-2021-21974, i notificada per la companyia en el respectiu avís de seguretat.

Diversos investigadors de seguretat afirmen que podrien haver-hi més de 3200 servidors compromesos, afectant sistemes pertanyents a diferents organitzacions ubicades a diverses parts del món, destacant Itàlia, França, Finlàndia, EUA i Canadà. El fabricant va publicar una actualització de seguretat que soluciona la sentència.

La base de dades del NIST ha registrat la vulnerabilitat descrita i li ha assignat una puntuació d'acord amb l'escala CVSSv3 de 8.8. VMware, per la seva banda, també va qualificar aquesta vulnerabilitat descoberta el passat any 2021 com a alta. Fins ara, es coneixen diversos atacs de tipus ransomware que han afectat diversos països, en concret servidors que no es van actualitzar quan es va fer pública la vulnerabilitat. D'altra banda, hi ha pública una prova de concepte (PoC) amb els detalls de la vulnerabilitat reportada:

Recursos afectats

Les vulnerabilitats reportades afecten les versions següents:

  • Versions de VMware ESXi 7.x anteriors a ESXi70U1c-17325551
  • Versions d'ESXi 6.7x anteriors a ESXi670-20212401-SG
  • Versions d'ESXi 6.5.x anteriors a ESXi650-202102101-SG

Solució

VMware ha publicat el pegat corresponent per corregir la vulnerabilitat als productes afectats. Com hem indicat abans, es tracta d'una vulnerabilitat descoberta en el passat i, per a la qual, hi ha una solució des del 23 de febrer de 2021. Per tant, si no s'ha fet amb anterioritat, es recomana aplicar el pegat corresponent al més aviat possible, a causa de l'explotació de manera activa de la vulnerabilitat:

  • VMware ESXi 7.x: Versió aplicada 7.0 U1c.
  • VMware ESXi 6.7.x: Versió aplicada 6.7 U3l.
  • VMware ESXi 6.5.x: Versió aplicada 6.5 U3n.

En aquells casos que no sigui possible aplicar l'actualització, o en servidors amb una versió inferior a 6.5x, es recomana deshabilitar el servei vulnerable del protocol d'ubicació de serveis (SLP) als hipervisors ESXi:

  • Iniciar sessió als servidors ESXi mitjançant sessió SSH.
  • Aturar el servei SLP (el servei SLP només es pot aturar quan el servei no està en ús): /etc/init.d/slpd stop
  • Executar la següent ordre per deshabilitar el servei: esxcli network firewall ruleset set -r CIMSLP -e 0

El CCN-CERT recomana encaridament als usuaris i administradors de sistemes que facin l'actualització esmentada per evitar l'exposició a atacs externs i la presa de control dels sistemes informàtics.

Referències

Rep les alertes de seguretat al teu email:
Comparteix aquesta alerta de seguretat:

Deixa un comentari

Calendari ciberseguretat /24

LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Alertes de seguretat

Estigues informat, rep-les al teu email
Consulta les últimes alertes