Hace unos días se han detectado ataques activos contra una vulnerabilidad de ejecución remota de código, CVE-2021-21974, con dos años de antigüedad, que ya tiene parche y que afecta a los hipervisores VMware ESXi.
Tras detectarlo, las autoridades, entre ellas el Equipo de Respuesta a Emergencias Informáticas de Francia, han lanzado un aviso contra ESXiArgs, el ataque de ransomware que se dirige a los servidores VMware ESXi a nivel mundial. Utiliza un exploit para obtener acceso a los servidores y luego cifra las máquinas virtuales alojadas en ellos. Después, los atacantes exigen el pago de un rescate por el descifrado de los datos. “El ataque parece haber sido llevado a cabo por un grupo organizado y bien financiado y es altamente efectivo, ya que los servidores ESXi a menudo se usan en infraestructuras críticas y pueden ser difíciles de proteger”, aseguran expertos de Armis a través de un artículo.
VMware, en su propia alerta publicada cuando se detectó la vulnerabilidad, describió el problema como una vulnerabilidad de desbordamiento de pila de OpenSLP que podría conducir a la ejecución de código arbitrario. “Un actor malintencionado que resida en el mismo segmento de red que ESXi y que tenga acceso al puerto 427 puede desencadenar el problema de desbordamiento” señaló la compañía.
Tras conocerse la oleada de ataque, VMware ha dicho a través de un comunicado que sus clientes deberían tomar medidas para aplicar el parche si aún no lo han hecho. “La higiene de la seguridad es un componente clave para prevenir ataques de ransomware”, dijo.
