Bitdefender ha publicado un informe sobre la nueva ola de ataques que utiliza vulnerabilidades conocidas para atacar servidores VMware ESXi. La compañía estima que más de 10.000 servidores ESXi a nivel mundial son vulnerables, pero probablemente sean muchos más.
La semana pasada, Bitdefender Labs descubrió un ataque en masa a los hipervisores VMware ESXi utilizando CVE-2021-21974, una vulnerabilidad conocida de ejecución remota de código y fácilmente explotable. El núcleo de esta vulnerabilidad es el denominado Protocolo de Ubicación de Servicios (SLP), que analiza la entrada a la red sin autenticación y se ejecuta como root. Una solución común para muchas organizaciones fue deshabilitar el puerto 427 que permitía el acceso a SLP.
Bitdefender Labs ha descubierto un enfoque novedoso para eludir la mitigación del puerto 427 al apuntar a máquinas virtuales que utilizan OpenSLP (una implementación personalizada de VMware) para comprometer las implementaciones del servidor VMware ESXi en las que se encuentran.
Además, Bitdefender ha observado que los actores de amenazas adoptaban varios lenguajes de programación para apuntar a múltiples sistemas operativos. La compañía espera un aumento de los ataques a hipervisores y otras cargas de trabajo que no sean de Windows en un futuro próximo.
Ante esta situación, Bitdefender insta a las empresas a estar en alerta máxima a medida que los ataques siguen aumentando y evolucionando. Para ayudar a prevenir que los ataques tengan éxito, las organizaciones deben asegurarse de que los servidores VMware ESXi estén parcheados, ya que la administración de parches es esencial para proteger todas las aplicaciones/servicios expuestos a Internet. Asimismo, las empresas deben asegurarse de que las soluciones XDR, EDR y otras defensas perimetrales estén actualizadas. Bitdefender también recomienda realizar un ejercicio proactivo de búsqueda de amenazas para identificar posibles actores de amenazas ocultas.
Más sobre esta investigación en: https://businessinsights.bitdefender.com/technical-advisory-immediately-patch-your-vmware-esxi-servers-targeted-by-opportunistic-threat-actors