VMware dijo el lunes que no encontró evidencia de que los actores de amenazas estén aprovechando una falla de seguridad desconocida, es decir, un día cero, en su software como parte de una ola de ataques de ransomware en curso en todo el mundo.
“La mayoría de los informes indican que el fin del soporte general (EoGS) y/o los productos significativamente desactualizados están siendo atacados con vulnerabilidades conocidas que se abordaron y divulgaron previamente en los Avisos de seguridad de VMware (VMSA)”, el proveedor de servicios de virtualización. dicho.
La empresa recomienda además a los usuarios que actualicen a las últimas versiones compatibles disponibles de los componentes de vSphere para mitigar los problemas conocidos y deshabilitar el servicio OpenSLP en ESXi.
“En 2021, ESXi 7.0 U2c y ESXi 8.0 GA comenzaron a enviarse con el servicio deshabilitado de forma predeterminada”, agregó VMware.
El anuncio se produce cuando los servidores VMware ESXi sin parches y no seguros de todo el mundo han sido atacados en un Gran escala campaña de ransomware denominado ESXiArgs probablemente al explotar un error de dos años que VMware parchó en febrero de 2021.
La vulnerabilidad, rastreada como CVE-2021-21974 (puntaje CVSS: 8.8), es una vulnerabilidad de desbordamiento de búfer basada en montón de OpenSLP que un actor de amenazas no autenticado puede explotar para obtener la ejecución remota de código.
Las intrusiones parecen seleccionar servidores ESXi susceptibles que están expuestos a Internet en el puerto 427 de OpenSLP, y se les indica a las víctimas que paga 2.01 bitcoins (alrededor de $ 45,990 al momento de escribir) para recibir la clave de cifrado necesaria para recuperar archivos. No se ha observado exfiltración de datos hasta la fecha.
Los datos de GreyNoise muestran que 19 direcciones IP únicas han estado intentando explotar la vulnerabilidad de ESXi desde el 4 de febrero de 2023. 18 de las 19 direcciones IP están clasificadas como benignas, con una única explotación maliciosa grabado de Holanda.
“Los clientes de ESXi deben asegurarse de que sus datos estén respaldados y deben actualizar sus instalaciones de ESXi a una versión fija en caso de emergencia, sin esperar a que ocurra un ciclo regular de parches”, dijo Caitlin Condon, investigadora de Rapid7. dicho. “Las instancias de ESXi no deben estar expuestas a Internet si es posible”.