{"id":449472,"date":"2023-02-08T06:42:19","date_gmt":"2023-02-08T06:42:19","guid":{"rendered":"https:\/\/magazineoffice.com\/los-piratas-informaticos-estan-infectando-servidores-en-masa-en-todo-el-mundo-al-explotar-un-agujero-parcheado\/"},"modified":"2023-02-08T06:42:21","modified_gmt":"2023-02-08T06:42:21","slug":"los-piratas-informaticos-estan-infectando-servidores-en-masa-en-todo-el-mundo-al-explotar-un-agujero-parcheado","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/los-piratas-informaticos-estan-infectando-servidores-en-masa-en-todo-el-mundo-al-explotar-un-agujero-parcheado\/","title":{"rendered":"Los piratas inform\u00e1ticos est\u00e1n infectando servidores en masa en todo el mundo al explotar un agujero parcheado"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<figure class=\"intro-image intro-left\"><figcaption class=\"caption\">\n<p>im\u00e1genes falsas<\/p>\n<\/figcaption><\/figure>\n<aside id=\"social-left\" class=\"social-left\" aria-label=\"Read the comments or share this article\">\n<\/aside>\n<p><!-- cache hit 44:single\/related:43e17391c3fbc891ab7d63a30ff6c287 --><!-- empty --><\/p>\n<p>Una explosi\u00f3n de ataques cibern\u00e9ticos est\u00e1 infectando servidores de todo el mundo con ransomware paralizante al explotar una vulnerabilidad que fue parcheada hace dos a\u00f1os, seg\u00fan se inform\u00f3 ampliamente el lunes.<\/p>\n<p>Los piratas aprovechan una falla en ESXi, un hipervisor que VMware vende a los hosts de la nube y otras empresas a gran escala para consolidar sus recursos de hardware.  ESXi es lo que se conoce como un hipervisor completo o Tipo 1, lo que significa que es esencialmente su propio sistema operativo que se ejecuta directamente en el hardware del servidor.  Por el contrario, los servidores que ejecutan la clase de hipervisores Tipo 2 m\u00e1s familiar, como VirtualBox de Oracle, se ejecutan como aplicaciones sobre un sistema operativo host.  Los hipervisores Tipo 2 luego ejecutan m\u00e1quinas virtuales que alojan sus propios sistemas operativos invitados, como Windows, Linux o, con menos frecuencia, macOS.<\/p>\n<h2>Introduzca ESXiArgs<\/h2>\n<p>Los avisos publicados recientemente por equipos de respuesta a emergencias inform\u00e1ticas (CERT) en Francia, Italia y Austria informan de una campa\u00f1a \u00abmasiva\u00bb que comenz\u00f3 a m\u00e1s tardar el viernes y ha cobrado impulso desde entonces.  Citando los resultados de una b\u00fasqueda en el Censo, los funcionarios del CERT en Austria dijeron que hasta el domingo hab\u00eda m\u00e1s de 3200 servidores infectados, incluidos ocho en ese pa\u00eds.<\/p>\n<p>\u201cDado que los servidores ESXi proporcionan una gran cantidad de sistemas como m\u00e1quinas virtuales (VM), se puede esperar un m\u00faltiplo de esta cantidad de sistemas individuales afectados\u201d, escribieron los funcionarios.<\/p>\n<p>La vulnerabilidad que se aprovecha para infectar los servidores es CVE-2021-21974, que se deriva de un desbordamiento de b\u00fafer basado en mont\u00f3n en OpenSLP, un est\u00e1ndar abierto de detecci\u00f3n de redes que est\u00e1 incorporado en ESXi.  Cuando VMware parch\u00f3 la vulnerabilidad en febrero de 2021, la empresa advirti\u00f3 que podr\u00eda ser explotada por un actor malintencionado con acceso al mismo segmento de red a trav\u00e9s del puerto 427. La vulnerabilidad ten\u00eda una calificaci\u00f3n de gravedad de 8,8 de un m\u00e1ximo de 10. Prueba de concepto El c\u00f3digo de explotaci\u00f3n y las instrucciones para usarlo estuvieron disponibles unos meses despu\u00e9s.<\/p>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio <\/span>    <\/p>\n<\/aside>\n<p>Durante el fin de semana, el host de nube franc\u00e9s OVH dijo que no tiene la capacidad de parchear los servidores vulnerables configurados por sus clientes.<\/p>\n<p>\u201cESXi OS solo se puede instalar en servidores bare metal\u201d, escribi\u00f3 Julien Levrard, director de seguridad de la informaci\u00f3n de OVH.  \u201cLanzamos varias iniciativas para identificar servidores vulnerables, en funci\u00f3n de nuestros registros de automatizaci\u00f3n para detectar la instalaci\u00f3n de ESXI por parte de nuestros clientes.  Tenemos medios de acci\u00f3n limitados ya que no tenemos acceso l\u00f3gico a los servidores de nuestros clientes\u201d.<\/p>\n<p>Mientras tanto, la empresa ha bloqueado el acceso al puerto 427 y tambi\u00e9n est\u00e1 notificando a todos los clientes que identifica como servidores vulnerables.<\/p>\n<p>Levrard dijo que el ransomware instalado en los ataques cifra los archivos de la m\u00e1quina virtual, incluidos los que terminan en .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram y .vmem.  Luego, el malware intenta desbloquear los archivos finalizando un proceso conocido como VMX.  La funci\u00f3n no funciona como pretend\u00edan sus desarrolladores, por lo que los archivos permanecen bloqueados.<\/p>\n<p>Los investigadores han apodado la campa\u00f1a y el ransomware detr\u00e1s de ella ESXiArgs, porque el malware crea un archivo adicional con la extensi\u00f3n \u00ab.args\u00bb despu\u00e9s de cifrar un documento.  El archivo .args almacena datos utilizados para descifrar datos cifrados.<\/p>\n<p>Los investigadores del equipo t\u00e9cnico de YoreGroup, Enes Sonmez y Ahmet Aykac, informaron que el proceso de cifrado de ESXiArgs puede cometer errores que permiten a las v\u00edctimas restaurar los datos cifrados.  Levrard de OVH dijo que su equipo prob\u00f3 el proceso de restauraci\u00f3n descrito por los investigadores y lo encontr\u00f3 exitoso en aproximadamente dos tercios de los intentos.<\/p>\n<p>Cualquiera que conf\u00ede en ESXi debe detener lo que est\u00e9 haciendo y asegurarse de que se hayan instalado los parches para CVE-2021-21974.  Los avisos vinculados anteriormente tambi\u00e9n brindan m\u00e1s orientaci\u00f3n para bloquear servidores que usan este hipervisor.<\/p>\n<\/p><\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>im\u00e1genes falsas Una explosi\u00f3n de ataques cibern\u00e9ticos est\u00e1 infectando servidores de todo el mundo con ransomware paralizante al explotar una vulnerabilidad que fue parcheada hace dos a\u00f1os, seg\u00fan se inform\u00f3&hellip;<\/p>\n","protected":false},"author":1,"featured_media":402233,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[10766,681,34502,76740,9844,8,3726,1146,37251,9151,2033,26],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/449472"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=449472"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/449472\/revisions"}],"predecessor-version":[{"id":449473,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/449472\/revisions\/449473"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/402233"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=449472"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=449472"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=449472"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}