Alertă de vulnerabilitate - VMware ESXi

Foto: Security Week

Descriere

Recent, comunitatea cercetătorilor din domeniul securității cibernetice a publicat informații referitoare la exploatarea în mod activ a unei vulnerabilități VMware, veche de doi ani, ca parte a unei campanii de răspândire a unor atacuri cu ransomware ce vizează mii de organizații din întreaga lume. Astfel, au fost identificate campanii împotriva hipervizoarelor VMware ESXi, cu scopul de a răspândi ransomware.

Vulnerabilitatea exploatată în aceste tentative de atac este CVE-2021-21974, afectează OpenSLP (Service Location Protocol), iar problema a fost raportată și corectată încă din februarie 2021.

Impact

Versiunile care sunt afectate:

• ESXi 7.x anterioare ESXi70U1c-17325551
• ESXi 6.7.x anterioare versiunilor ESXi670-202102401-SG
• ESXi 6.5.x anterioare versiunilor ESXi650-202102101-SG

Dacă această vulnerabilitate este exploatată cu succes, un atacator de la distanță poate executa cod arbitrar.

Recomandări

Echipa DNSC recomandă aplicarea tuturor actualizărilor de securitate disponibile, precum și măsura temporară de atenuare recomandată de VMware - dezactivarea serviciului SLP pe hipervizoarele ESXi care nu au fost actualizate.

De asemenea, recomandăm o analiză a sistemelor pentru a înțelege dacă acestea nu au fost compromise.

Surse

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

https://kb.vmware.com/s/article/76372

https://techcrunch.com/2023/02/06/hackers-vmware-esxi-ransomware/