Las vulnerabilidades críticas con identificador CVE-2019-5544 y CVE-2020-3992 en VMware ESXi, son usadas en ataques ransomware, con el fin de cifrar discos duros de las máquinas virtuales.
El CVE-2019-5544 aborda una vulnerabilidad crítica de ejecución remota de código en OpenSLP, Protocolo de ubicación del servicio (SLP), que permite que el software ubique recursos en una red OpenSLP. Este protocolo usado en ESXi y los dispositivos Horizon DaaS, tiene un problema de sobrescritura que podría permitir que un atacante malintencionado con acceso de red al puerto 427 en un host ESXi o en cualquier dispositivo de administración de Horizon DaaS pueda sobrescribir el servicio OpenSLP, lo que da como resultado la ejecución remota de código.
En el caso de la vulnerabilidad bajo el identificador CVE-2020-3992, también es afectada OpenSLP, pero en este caso un atacante con acceso a la red de administración y con acceso al puerto 427 en una máquina ESXi puede activar un uso después de la liberación en el servicio OpenSLP, lo que resulta en la ejecución remota de código.
Según ZDNet, el ataque aprovecha de las vulnerabilidades en la que las máquinas virtuales se cierran abruptamente y luego se cifraron todos los archivos en el almacén de datos (vmdk, vmx, registros). Estos ataques han sido atribuidos a la banda RansomExx Ransomware (también conocida como Defray777). En estos casos los atacantes dejaron notas de rescate en el nivel del almacén de datos.
Se recomienda a los administradores de sistemas de las empresas que apliquen los parches ESXi publicados en sus boletines de seguridad, o deshabiliten el soporte SLP para evitar ataques si el protocolo no es necesario.
Más información:
- https://securityaffairs.co/wordpress/114124/malware/ransomware-attack-vmware-esxi.html
- https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/
- https://www.vmware.com/security/advisories/VMSA-2019-0022.html
- https://www.vmware.com/security/advisories/VMSA-2020-0023.html
- https://www.vmware.com/security/advisories.html