Se sabe que los operadores de ransomware aprovechan varias vulnerabilidades, especialmente en campañas contra empresas y organizaciones. Tal es el caso de dos vulnerabilidades en el producto VMWare ESXi, incluido en los ataques de al menos una banda de ransomware prominente.
Estos ataques están vinculados al grupo detrás el ransomware RansomExx.
RansomExx fue analizado en noviembre del año pasado por investigadores de Kaspersky cuando se encontraron con ataques dirigidos a sistemas Linux.. El equipo descubrió un ejecutable ELF de 64 bits diseñado para cifrar datos en máquinas con Linux.
El análisis mostró que el ransomware compartía muchas similitudes con una familia conocida anteriormente llamada RansomExx., demostrando que el ransomware recibió una compilación de Linux. RansomExx se dirige a grandes corporaciones y se considera "un troyano altamente dirigido".
Los operadores de RansomExx están utilizando errores de VMWare CVE-2019-5544 & CVE-2020-3992
Una nueva investigación ahora sugiere que los operadores de RansomExx ahora están utilizando CVE-2019-5544 y CVE-2020-3992 en VMware ESXi. Este dispositivo VMWare es un hipervisor que permite que varias máquinas virtuales compartan el mismo almacenamiento de disco duro. Curiosamente, escribimos sobre uno de estos dos defectos en noviembre, cuando se hizo público el boletín oficial de seguridad. La vulnerabilidad CVE-2020-3992 se descubrió en la función OpenSLP de VMware ESXi.
ESXi es un hipervisor que utiliza software para particionar procesadores, memoria, almacenamiento, y recursos de red en múltiples VM (maquinas virtuales). Esta falla fue causada por la implementación de OpenSLP en ESXi, provocando un uso después de libre (UAF) problema. Las vulnerabilidades de UAF generalmente provienen de la utilización incorrecta de la memoria dinámica durante la operación de un programa. Más específicamente, Si un programa no borra el puntero de la memoria después de liberar una ubicación de memoria, un atacante puede aprovechar el error.
En cuanto a CVE-2019-5544, "Un actor malintencionado con acceso de red al puerto 427 en un host ESXi o en cualquier dispositivo de administración de Horizon DaaS puede sobrescribir el montón del servicio OpenSLP, lo que da como resultado la ejecución remota de código," VMWare explicado en el aviso.
Las dos fallas podrían ayudar a un atacante en la misma red a enviar solicitudes SLP maliciosas a un dispositivo ESXi vulnerable.. El atacante podría entonces controlarlo.
Hay indicios de que la banda de ransomware Babuk Locker también está llevando a cabo ataques basados en un escenario similar. Sin embargo, estos ataques aún no se han confirmado.
¿Qué deben hacer los administradores de sistemas para evitar ataques??
Si su empresa utiliza dispositivos VMWare ESXi, debe aplicar los parches que abordan los dos defectos de inmediato. Otra forma de prevenir exploits es deshabilitar el soporte SLP.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: