imágenes falsas
Una explosión de ataques cibernéticos está infectando servidores de todo el mundo con ransomware paralizante al explotar una vulnerabilidad que fue parcheada hace dos años, según se informó ampliamente el lunes.
Los piratas aprovechan una falla en ESXi, un hipervisor que VMware vende a los hosts de la nube y otras empresas a gran escala para consolidar sus recursos de hardware. ESXi es lo que se conoce como un hipervisor completo o Tipo 1, lo que significa que es esencialmente su propio sistema operativo que se ejecuta directamente en el hardware del servidor. Por el contrario, los servidores que ejecutan la clase de hipervisores Tipo 2 más familiar, como VirtualBox de Oracle, se ejecutan como aplicaciones sobre un sistema operativo host. Los hipervisores Tipo 2 luego ejecutan máquinas virtuales que alojan sus propios sistemas operativos invitados, como Windows, Linux o, con menos frecuencia, macOS.
Introduzca ESXiArgs
Los avisos publicados recientemente por equipos de respuesta a emergencias informáticas (CERT) en Francia, Italia y Austria informan de una campaña «masiva» que comenzó a más tardar el viernes y ha cobrado impulso desde entonces. Citando los resultados de una búsqueda en el Censo, los funcionarios del CERT en Austria dijeron que hasta el domingo había más de 3200 servidores infectados, incluidos ocho en ese país.
“Dado que los servidores ESXi proporcionan una gran cantidad de sistemas como máquinas virtuales (VM), se puede esperar un múltiplo de esta cantidad de sistemas individuales afectados”, escribieron los funcionarios.
La vulnerabilidad que se aprovecha para infectar los servidores es CVE-2021-21974, que se deriva de un desbordamiento de búfer basado en montón en OpenSLP, un estándar abierto de detección de redes que está incorporado en ESXi. Cuando VMware parchó la vulnerabilidad en febrero de 2021, la empresa advirtió que podría ser explotada por un actor malintencionado con acceso al mismo segmento de red a través del puerto 427. La vulnerabilidad tenía una calificación de gravedad de 8,8 de un máximo de 10. Prueba de concepto El código de explotación y las instrucciones para usarlo estuvieron disponibles unos meses después.
Durante el fin de semana, el host de nube francés OVH dijo que no tiene la capacidad de parchear los servidores vulnerables configurados por sus clientes.
“ESXi OS solo se puede instalar en servidores bare metal”, escribió Julien Levrard, director de seguridad de la información de OVH. “Lanzamos varias iniciativas para identificar servidores vulnerables, en función de nuestros registros de automatización para detectar la instalación de ESXI por parte de nuestros clientes. Tenemos medios de acción limitados ya que no tenemos acceso lógico a los servidores de nuestros clientes”.
Mientras tanto, la empresa ha bloqueado el acceso al puerto 427 y también está notificando a todos los clientes que identifica como servidores vulnerables.
Levrard dijo que el ransomware instalado en los ataques cifra los archivos de la máquina virtual, incluidos los que terminan en .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram y .vmem. Luego, el malware intenta desbloquear los archivos finalizando un proceso conocido como VMX. La función no funciona como pretendían sus desarrolladores, por lo que los archivos permanecen bloqueados.
Los investigadores han apodado la campaña y el ransomware detrás de ella ESXiArgs, porque el malware crea un archivo adicional con la extensión «.args» después de cifrar un documento. El archivo .args almacena datos utilizados para descifrar datos cifrados.
Los investigadores del equipo técnico de YoreGroup, Enes Sonmez y Ahmet Aykac, informaron que el proceso de cifrado de ESXiArgs puede cometer errores que permiten a las víctimas restaurar los datos cifrados. Levrard de OVH dijo que su equipo probó el proceso de restauración descrito por los investigadores y lo encontró exitoso en aproximadamente dos tercios de los intentos.
Cualquiera que confíe en ESXi debe detener lo que esté haciendo y asegurarse de que se hayan instalado los parches para CVE-2021-21974. Los avisos vinculados anteriormente también brindan más orientación para bloquear servidores que usan este hipervisor.