Campaña de explotación de vulnerabilidades de VMware ESXi

Crítica Alerta 5

Aviso de una campaña de explotación de vulnerabilidades que ha tenido como objetivo servidores VMware ESXi, sistema operativo que puede alojar varias máquinas virtuales. Estos ataques aprovechan una vulnerabilidad descubierta el año 2021, catalogada bajo el CVE-2021-21974, y notificada por la compañía en su respectivo aviso de seguridad.

Varios investigadores de seguridad afirman que podrían haber más de 3200 servidores comprometidos, afectando a sistemas pertenecientes a distintas organizaciones ubicadas en varias partes del mundo, destacando Italia, Francia, Finlandia, EE. UU y Canadá. El fabricante publicó una actualización de seguridad que soluciona el fallo.

La base de datos del NIST ha registrado la vulnerabilidad descrita, asignándole una puntuación de acuerdo a la escala CVSSv3 de 8.8. VMware, por su parte, también calificó esta vulnerabilidad descubierta el pasado año 2021 como alta. Hasta la fecha, se conocen varios ataques de tipo ransomware que han afectado a varios países, en concreto servidores que no se actualizaron cuando se hizo pública la vulnerabilidad. Por otro lado, se encuentra pública una prueba de concepto (PoC) con los detalles de la vulnerabilidad reportada:

Recursos afectados

Las vulnerabilidades reportadas afectan a las siguientes versiones:

  • Versiones de VMware ESXi 7.x anteriores a ESXi70U1c-17325551
  • Versiones de ESXi 6.7x anteriores a ESXi670-20212401-SG
  • Versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG

Solución

VMware ha publicado el parche correspondiente para corregir la vulnerabilidad en los productos afectados. Como se ha indicado antes, se trata de una vulnerabilidad descubierta en el pasado y, para la cual, existe una solución desde el 23 de febrero de 2021. Por lo tanto, si no se ha hecho con anterioridad, se recomienda aplicar el parche correspondiente lo antes posible, debido a la explotación de manera activa de la vulnerabilidad:

  • VMware ESXi 7.x: Versión parcheada 7.0 U1c.
  • VMware ESXi 6.7.x: Versión parcheada 6.7 U3l.
  • VMware ESXi 6.5.x: Versión parcheada 6.5 U3n.

En aquellos casos que no sea posible aplicar la actualización, o en servidores con una versión inferior a 6.5x, se recomienda deshabilitar el servicio vulnerable del protocolo de ubicación de servicios (SLP) en los hipervisores ESXi:

  • Iniciar sesión en los servidores ESXi mediante sesión SSH.
  • Detener el servicio SLP (el servicio SLP solo se puede detener cuando el servicio no está en uso): /etc/init.d/slpd stop
  • Ejecutar el siguiente comando para deshabilitar el servicio: esxcli network firewall ruleset set -r CIMSLP -e 0

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualización mencionada con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias

Publicaciones relacionadas:
Recibe las alertas de seguridad a tu email:
Comparte esta alerta de seguridad:

Deja un comentario

Calendario Ciberseguridad /24

Pídelo
LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Accede al workshop

Alertas de seguridad

Mantente informado, recíbelas en tu email
Consulta las últimas alertas