CCN-CERT AV 01/23 Campaña de explotación de vulnerabilidades de Vmware ESXi

Cabecera
separador
Campaña de explotación de vulnerabilidades de Vmware ESXi

Fecha de publicación: 06/02/2023
Nivel de peligrosidad: ALTA

El CCN-CERT, del Centro Criptológico Nacional, avisa de una campaña de explotación de vulnerabilidades que ha tenido como objetivo servidores VMware ESXi, sistema operativo que puede alojar varias máquinas virtuales. Estos ataques aprovechan una vulnerabilidad descubierta el año 2021, catalogada bajo el CVE-2021-21974, y notificada por la compañía en su respectivo aviso de seguridad.

Varios investigadores de seguridad afirman que podrían haber más de 3200 servidores comprometidos, afectando a sistemas pertenecientes a distintas organizaciones ubicadas en varias partes del mundo, destacando Italia, Francia, Finlandia, EE. UU y Canadá. El fabricante publicó una actualización de seguridad que soluciona el fallo.

La base de datos del NIST ha registrado la vulnerabilidad descrita, asignándole una puntuación de acuerdo a la escala CVSSv3 de 8.8. VMware, por su parte, también calificó esta vulnerabilidad descubierta el pasado año 2021 como alta. Hasta la fecha, se conocen varios ataques de tipo ransomware que han afectado a varios países, en concreto servidores que no se actualizaron cuando se hizo pública la vulnerabilidad. Por otro lado, se encuentra pública una prueba de concepto (PoC) con los detalles de la vulnerabilidad reportada:

Recursos afectados

Las vulnerabilidades reportadas afectan a las siguientes versiones:

  • Versiones de VMware ESXi 7.x anteriores a ESXi70U1c-17325551
  • Versiones de ESXi 6.7x anteriores a ESXi670-20212401-SG
  • Versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG

Solución a las vulnerabilidades

VMware ha publicado el parche correspondiente para corregir la vulnerabilidad en los productos afectados. Como se ha indicado antes, se trata de una vulnerabilidad descubierta en el pasado y, para la cual, existe una solución desde el 23 de febrero de 2021. Por lo tanto, si no se ha hecho con anterioridad, se recomienda aplicar el parche correspondiente lo antes posible, debido a la explotación de manera activa de la vulnerabilidad:

  • VMware ESXi 7.x: Versión parcheada 7.0 U1c.
  • VMware ESXi 6.7.x: Versión parcheada 6.7 U3l.
  • VMware ESXi 6.5.x: Versión parcheada 6.5 U3n.

En aquellos casos que no sea posible aplicar la actualización, o en servidores con una versión inferior a 6.5x, se recomienda deshabilitar el servicio vulnerable del protocolo de ubicación de servicios (SLP) en los hipervisores ESXi:

  • Iniciar sesión en los servidores ESXi mediante sesión SSH.
  • Detener el servicio SLP (el servicio SLP solo se puede detener cuando el servicio no está en uso): /etc/init.d/slpd stop
  • Ejecutar el siguiente comando para deshabilitar el servicio: esxcli network firewall ruleset set -r CIMSLP -e 0

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualización mencionada con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias

Atentamente,

Equipo CCN-CERT

 
 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2023 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT