Gravedad: Alta
Fecha de publicación: febrero 3, 2021
Última revisión: febrero 3, 2021
Sistemas Afectados:
VMWare ESX
I. Descripción
Un grupo de ciberdelincuentes se está aprovechando de las vulnerabilidades de VMWare ESXi, CVE-2019-5544 y CVE-2020-3992 para hacerse cargo de las máquinas virtuales implementadas en entornos empresariales y cifrar sus discos duros virtuales.
Los atacantes se están aprovechando de un error que afecta el protocolo de ubicación de servicio (SLP), un protocolo utilizado por dispositivos en la misma red para descubrirse entre sí; también se incluye con ESXi.
Las vulnerabilidades permiten que un atacante en la misma red envíe solicitudes SLP maliciosas a un dispositivo ESXi y tome el control de él, incluso si el atacante no ha logrado comprometer el servidor VMWare vCenter al que suelen informar las instancias ESXi.
Se habla de que el grupo RansomExx a obtenido acceso a un dispositivo en una red corporativa y abusando de este punto de entrada inicial para atacar instancias ESXi locales y cifrar sus discos duros virtuales, utilizados para almacenar datos de entre máquinas virtuales, lo que causa interrupciones masivas a las empresas, ya que los discos virtuales ESXi generalmente se utilizan para centralizar datos de muchos otros sistemas.
Se recomienda a los administradores de sistemas que dependen de VMWare ESXi para administrar el espacio de almacenamiento utilizado por sus máquinas virtuales, que apliquen los parches ESXi necesarios o deshabilitar el soporte SLP, para evitar ataques si el protocolo no es necesario.
Fuente:
II. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124