Vulnerabilidad de VMWare sin parches utilizada por piratas informáticos para atacar servidores y propagar ransomware

Un error de software sin parche presente en los servidores ESXi de VMWare está siendo explotado por piratas informáticos con el objetivo de propagar ransomware en todo el mundo.

Los piratas informáticos abusan de los servidores VMWare sin parches

Una vulnerabilidad de software de dos años presente en los servidores ESXi de VMWare se ha convertido en el objetivo de una campaña de piratería generalizada. El objetivo del ataque es implementar ESXiArgs, una nueva variante de ransomware. Se estima que cientos de organizaciones se han visto afectadas.

El Equipo de Respuesta a Emergencias Informáticas (CERT) de Francia publicó una declaración el 3 de febrero, en la que se discutió la naturaleza de los ataques. En la publicación de CERT , se escribió que las campañas «parecen haberse aprovechado de la exposición de los hipervisores ESXi que no se han actualizado con parches de seguridad lo suficientemente rápido». CERT también señaló que el error al que se apunta «permite que un atacante realice una explotación remota de código arbitrario”.

Se ha instado a las organizaciones a parchear la vulnerabilidad del hipervisor para evitar ser víctimas de esta operación de ransomware. Sin embargo, el CERT recordó a los lectores en el citado comunicado que “la actualización de un producto o software es una operación delicada que debe realizarse con precaución”, y que “se recomienda realizar las pruebas en la medida de lo posible”.

VMWare también se ha pronunciado sobre la situación

Junto con CERT y varias otras entidades, VMWare también ha publicado una publicación sobre este ataque global. En un aviso de VMWare , se escribió que la vulnerabilidad del servidor (conocida como CVE-2021-21974) podría dar a los actores maliciosos la capacidad de «desencadenar el problema de desbordamiento del montón en el servicio OpenSLP que resulta en la ejecución remota de código».

VMWare también señaló que emitió un parche para esta vulnerabilidad en febrero de 2021, que se puede usar para cortar el vector de ataque de los operadores maliciosos y, por lo tanto, evitar ser atacado.

Este ataque no parece ser estatal

Aunque aún no se conocen las identidades de los atacantes en esta campaña, la Agencia Nacional de Ciberseguridad (ACN) de Italia ha dicho que actualmente no hay evidencia que sugiera que el ataque fue llevado a cabo por alguna entidad estatal (según informó Reuters ). Varias organizaciones italianas se vieron afectadas por este ataque, así como organizaciones en Francia, Estados Unidos, Alemania y Canadá.

Se han dado sugerencias sobre quién podría ser el responsable de esta campaña, considerando software de varias familias de ransomware como BlackCat, Agenda y Nokoyawa. El tiempo dirá si se pueden descubrir las identidades de los operadores.

Los ataques de ransomware continúan representando un riesgo importante

A medida que pasan los años, más y más organizaciones son víctimas de ataques de ransomware. Este modo de delito cibernético se ha vuelto increíblemente popular entre los actores maliciosos, con este hack global de VMWare que muestra cuán generalizadas pueden ser las consecuencias.