viernes, 5 de febrero de 2021

Un ransomware está abusando de una vulnerabilidad de VMWare ESXi

Ransomware abusando de fallos en VMWare ESXi

      El producto VMWare ESXi tiene una vulnerabilidad la cual permite tomar control de las máquinas virtuales y cifrar los discos duros virtuales de dichas máquinas, vulnerabilidad la cual por el momento está siendo abusada por una banda de ransomware famosa.

La banda de ransomware que se atribuye a estos ataques es a los creadores de RansomExx, siendo los primeros ataques en octubre del año pasado.

Según los investigadores los atacantes utilizaron las vulnerabilidades conocidas como CVE-2019-5544 y CVE-2020-3992, siendo las dos vulnerabilidades errores que afectan al Service Location Protocol (SLP), protocolo el cual se utiliza por los dispositivos de la misma red para descubrirse entre ellos, el cual está incluido también en ESXi. Las vulnerabilidades permiten enviar solicitudes SLP maliciosas en la misma red a un dispositivo ESXi y tomar control de la máquina virtual, incluso si el atacante no ha conseguido comprometer el servidor VMWare vCenter donde suelen informar las instancias ESXi.

Los ataques que realizaron la banda RansomExx conseguían obtener acceso a un dispositivo en una red corporativa y abusar de las vulnerabilidades de ESXi para atacar y cirfar los discos duros virtuales, utilizados para almacenar datos entre máquinas virtuales.

Los informes referentes a estos ataques son documentados en Reddit, Twitter y fueron presentados en una conferencia de seguridad. Por el momento solo se ha visto a la pandilla de RansomExx (conocida también como Defray777) abusando de la vulnerabilidad, aunque en una actualización del mes pasado el operador del ransomware Babuk Locker anunció una característica similar, aunque por el momento no ha sido confirmado ningún ataque exitoso.

La firma de inteligencia de amenazas KELA ha observado como en varios foros clandestinos de ciberdelincuentes han aparecido la venta de acceso a instancias de ESXi.


No hay comentarios:

Publicar un comentario