Administradores, proveedores de alojamiento y el Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) advierten de que los atacantes se dirigen activamente a servidores VMware ESXi sin parches contra una vulnerabilidad de ejecución remota de código de hace dos años para desplegar ransomware.
Identificado como CVE-2021-21974, la vulnerabilidad se debe a un desbordamiento de heap en el servicio OpenSLP que puede ser aprovechado por amenazas sin autenticar en ataques de baja complejidad.
«Según las investigaciones actuales, estas campañas de ataque parecen estar explotando la vulnerabilidad CVE-2021-21974, para la cual se ha estado disponible un parche desde el 23 de febrero de 2021«, dijo CERT-FR.
«Los objetivos serían los hipervisores ESXi en la versión 6.x y anteriores a 6.7».
Para bloquear los ataques entrantes, los administradores deben desactivar el servicio vulnerable de Protocolo de Ubicación de Servicio (SLP) en los hipervisores ESXi que aún no han sido actualizados.
CERT-FR recomienda firmemente aplicar el parche lo antes posible, pero agrega que los sistemas que no se han parcheado también deben ser escaneados en busca de signos de compromiso.
CVE-2021-21974 afecta a los siguientes sistemas:
ESXi versiones 7.x antes de ESXi70U1c-17325551
ESXi versiones 6.7.x antes de ESXi670-202102401-SG
ESXi versiones 6.5.x antes de ESXi650-202102101-SG
El proveedor de cloud francés OVHcloud también ha publicado hoy un informe en el que vincula esta oleada masiva de ataques dirigidos a servidores VMware ESXi con la operación Nevada ransomware.
«Según los expertos del ecosistema, así como las autoridades, podrían estar relacionados con el ransomware Nevada y están utilizando CVE-2021-21974 como vector de compromiso. Todavía se están llevando a cabo investigaciones para confirmar estas suposiciones», dijo Julien Levrard, CISO de OVHcloud.
«El ataque se dirige principalmente a servidores ESXi en versión anterior a 7.0 U3i, aparentemente a través del puerto OpenSLP (427)».
Al menos 120 servidores VMware ESXi en todo el mundo ya han sido comprometidos en esta campaña de ransomware, según una búsqueda en Shodan.
🚨 Right now, at least 115 VMware ESXi servers (and counting) are compromised with this aggressive #Ransomware campaign. Beware!!! 👇https://t.co/MesNZ16xPD
— Germán Fernández (@1ZRR4H) February 3, 2023
/cc @ValeryMarchive @LawrenceAbrams @a_bermingham @JRoosen https://t.co/wYlXY8ipvt pic.twitter.com/iaKA32hG5F
Nuevo ransomware ESXiArgs
Sin embargo, a partir de las notas de rescate vistas en este ataque, no parecen estar relacionadas con el Nevada Ransomware, y parecen pertenecer a una nueva familia de ransomware.
Desde hace aproximadamente cuatro horas, las víctimas afectadas por esta campaña también han comenzado a informar de los ataques pidiendo ayuda y más información sobre cómo recuperar sus datos.
El ransomware cifra archivos con las extensiones .vmxf, .vmx, .vmdk, .vmsd y .nvram en servidores ESXi comprometidos y crea un archivo .args para cada documento cifrado con metadatos (probablemente necesarios para el descifrado).
Mientras que los autores detrás de este ataque afirman haber robado datos, una víctima informó en los foros de BleepingComputer que no fue el caso en su incidente.
«Nuestra investigación ha determinado que no se han infiltrado datos. En nuestro caso, la máquina atacada tenía más de 500 GB de datos pero un uso diario típico de sólo 2 Mbps. Revisamos las estadísticas de tráfico de los últimos 90 días y no encontramos pruebas de transferencia de datos salientes», dijo el administrador.
Las víctimas también han encontrado notas de rescate llamadas «ransom.html» y «How to Restore Your Files.html» en los sistemas bloqueados. Otros dijeron que sus notas son archivos de texto sin formato.
Michael Gillespie, de ID Ransomware, está actualmente rastreando el ransomware bajo el nombre de ‘ESXiArgs’, pero dijo que hasta que no podamos encontrar una muestra, no hay manera de determinar si tiene alguna debilidad en el cifrado.
