Gravedad: Alta
\nFecha de publicaci\u00f3n: febrero 3, 2021
\n\u00daltima revisi\u00f3n: febrero 3, 2021<\/p>\n\n\n\n
Sistemas Afectados:
\nVMWare ESX<\/p>\n\n\n\n
I.\nDescripci\u00f3n<\/strong><\/p>\n\n\n\n Un grupo de ciberdelincuentes<\/strong> se est\u00e1 aprovechando de las vulnerabilidades de\nVMWare ESXi, CVE-2019-5544 y CVE-2020-3992 para hacerse cargo de las m\u00e1quinas\nvirtuales implementadas en entornos empresariales y cifrar sus discos duros\nvirtuales.<\/p>\n\n\n\n Los atacantes se est\u00e1n aprovechando de un error que afecta el protocolo\nde ubicaci\u00f3n de servicio (SLP), un protocolo utilizado por dispositivos en la\nmisma red para descubrirse entre s\u00ed; tambi\u00e9n se incluye con ESXi.<\/p>\n\n\n\n Las vulnerabilidades permiten que un atacante en la misma red env\u00ede\nsolicitudes SLP maliciosas a un dispositivo ESXi y tome el control de \u00e9l,\nincluso si el atacante no ha logrado comprometer el servidor VMWare vCenter al\nque suelen informar las instancias ESXi.<\/p>\n\n\n\n Se habla de que el grupo RansomExx a obtenido acceso a un dispositivo en\nuna red corporativa y abusando de este punto de entrada inicial para atacar\ninstancias ESXi locales y cifrar sus discos duros virtuales, utilizados para\nalmacenar datos de entre m\u00e1quinas virtuales, lo que causa interrupciones\nmasivas a las empresas, ya que los discos virtuales ESXi generalmente se\nutilizan para centralizar datos de muchos otros sistemas.<\/p>\n\n\n\n Se recomienda a los administradores de sistemas que dependen de VMWare ESXi para administrar el espacio de almacenamiento utilizado por sus m\u00e1quinas virtuales, que apliquen los parches ESXi necesarios o deshabilitar el soporte SLP<\/a>, para evitar ataques si el protocolo no es necesario.<\/p>\n\n\n\n Fuente:<\/p>\n\n\n\n