Desde múltiples agencias de seguridad europeas y servicios de notificación de vulnerabilidades se está haciendo un llamamiento a administradores de entornos VMware, proveedores de hosting, cloud privado y cloud público para que apliquen las medidas necesarias para proteger sus servidores VMware ESXi del nuevo ransomware ESXiArgs que permite la ejecución remota de código y podrían cifrar todo el servidor y sus máquinas virtuales.
Identificado en CVE-2021-21974, este fallo de seguridad está causado por un problema de desbordamiento de heap en el servicio OpenSLP que puede ser explotado por usuarios no autenticados en ataques de baja complejidad. Según las primeras investigaciones los hackers podrían estar explotando esta vulnerabilidad para la que existe un parche desde el 23 de febrero de 2021.
«Los sistemas que pueden ser atacados son los hipervisores ESXi en versión 6.x y anteriores a la 6.7». ¡Comprueba que versión están utilizando! Pero sobre todo actúa de forma urgente si la gestión y tu vCenter de VMware ESXi está con una IP pública.
Es posible bloquear los ataques entrantes, para ello los administradores tienen que desactivar el servicio vulnerable Service Location Protocol (SLP) en los hipervisores ESXi que aún no se hayan actualizado. Otra medida interesante es NUNCA exponer la administración de un VMware y vCenter en una ip pública de libre acceso, es mucho mejor utilizar IPs privadas y tener una VPN de conexión segura.
Desde Administración de Sistemas recomendamos aplicar este parche lo antes posible, así como aplicar medidas de seguridad para evitar el acceso o escaneos en busca de sistemas comprometidos.
CVE-2021-21974 afecta a los siguientes sistemas:
- ESXi versiones 7.x anteriores a ESXi70U1c-17325551
- ESXi versiones 6.7.x anteriores a ESXi670-202102401-SG
- ESXi versiones 6.5.x anteriores a ESXi650-202102101-SG
El proveedor francés OVHcloud está avisando a sus clientes que están siendo afectados en masa por ese ransomware sobre VMware ESXi, ya que normalmente los servidores de OVH exponen los vCenter en IPs públicas a Internet.
«El ataque se está dirigiendo principalmente a servidores ESXi en versiones anteriores a 7.0 U3i, aparentemente a través del puerto OpenSLP (427)».
Según los reportes en el momento de la publicación de este artículo más de 5.000 servidores VMware ESXi en todo el mundo se han visto comprometidos en la campaña de ransomware ESXiArgs. Una vez secuestrado el sistema piden un rescate en Bitcoins para descifrarlo, si bien la recomendación es nunca pagar por estos rescates.
Cómo desactivar/activar el servicio SLP en VMware ESXi
Se han revelado vulnerabilidades de OpenSLP que afectan a ESXi. Estas vulnerabilidades y su impacto en los productos de VMware están documentadas en los siguientes avisos de seguridad de VMware (VMSAs), por favor revíselos antes de continuar ya que puede haber consideraciones fuera del alcance de este documento según los KB de Vmware:
- VMSA-2022-0030 (CVE-2022-31699)
- VMSA-2021-0014 (CVE-2021-21995)
- VMSA-2021-0002 (CVE-2021-21974)
- VMSA-2020-0023 (CVE-2020-3992)
- VMSA-2019-0022 (CVE-2019-5544)
El equipo de ESXi ha investigado estas vulnerabilidades y ha determinado que la posibilidad de explotación puede eliminarse realizando los pasos detallados en la sección de resolución de este artículo. Se recomienda a los clientes que desplieguen los parches documentados en los VMSA mencionados anteriormente.
IMPORTANTE: Esta solución es aplicable SÓLO a ESXi. No aplique esta solución a otros productos de VMware.
Impacto en la funcionalidad: Con esta solución, los clientes CIM que utilicen SLP para encontrar servidores CIM a través del puerto 427 no podrán localizar el servicio. No es necesario reiniciar el host ESXi para deshabilitar o habilitar el servicio.
Accede al a solución para activar y desactivar el servicio SLP en el KB76372 de Vmware.
Más información sobre este Ransomware en Bleeping Computer
