El producto VMWare ESXi tiene una vulnerabilidad la cual
permite tomar control de las máquinas virtuales y cifrar los discos duros
virtuales de dichas máquinas, vulnerabilidad la cual por el momento está siendo
abusada por una banda de ransomware famosa.
La banda de ransomware que se atribuye a estos ataques es a
los creadores de RansomExx, siendo los primeros ataques en octubre del año
pasado.
Según los investigadores los atacantes utilizaron las
vulnerabilidades conocidas como CVE-2019-5544 y CVE-2020-3992, siendo las dos
vulnerabilidades errores que afectan al Service Location Protocol (SLP), protocolo
el cual se utiliza por los dispositivos de la misma red para descubrirse entre
ellos, el cual está incluido también en ESXi. Las vulnerabilidades permiten
enviar solicitudes SLP maliciosas en la misma red a un dispositivo ESXi y tomar
control de la máquina virtual, incluso si el atacante no ha conseguido comprometer
el servidor VMWare vCenter donde suelen informar las instancias ESXi.
Los ataques que realizaron la banda RansomExx conseguían obtener
acceso a un dispositivo en una red corporativa y abusar de las vulnerabilidades
de ESXi para atacar y cirfar los discos duros virtuales, utilizados para almacenar
datos entre máquinas virtuales.
Los informes referentes a estos ataques son documentados en
Reddit, Twitter y fueron presentados en una conferencia de seguridad. Por el
momento solo se ha visto a la pandilla de RansomExx (conocida también como
Defray777) abusando de la vulnerabilidad, aunque en una actualización del mes pasado
el operador del ransomware Babuk Locker anunció una característica similar, although
por el momento no ha sido confirmado ningún ataque exitoso.
La firma de inteligencia de amenazas KELA ha observado como en
varios foros clandestinos de ciberdelincuentes han aparecido la venta de acceso
a instancias de ESXi.