Según la BSI - Oficina Federal para la Seguridad de la Información, miles de servidores que ejecutan la solución de virtualización ESXi de VMware se infectaron con ransomware y muchos también se cifraron en un ataque global generalizado.
El foco regional de los ataques a los servidores VMware ESXi estaba en Francia, EE. UU., Alemania y Canadá; otros países también se ven afectados. Los perpetradores aprovecharon una vulnerabilidad conocida desde hace mucho tiempo en el servicio OpenSLP de la aplicación, que desencadenó un "desbordamiento de montón" y, en última instancia, permitió que el código se ejecutara de forma remota. Ahora existe una herramienta para restaurar servidores cifrados con ESXiArgs ransomware según la constelación de versiones y parches de VMware: ESXiArgs-Recover-Tool.
2 años 8.8 alta vulnerabilidad
La vulnerabilidad en sí, que figura como CVE-2021-21974 y calificada como "alta" según CVSS con una gravedad de 8.8, ha sido un parche del fabricante desde febrero de 2021. El BSI ya había señalado la vulnerabilidad crítica en ese momento. Según BSI, todavía no es posible hacer declaraciones concretas sobre el impacto y el alcance de los posibles daños. El BSI está analizando intensamente este incidente de seguridad informática y está en contacto con sus socios internacionales.
Las empresas italianas en particular se vieron muy afectadas por el ataque del fin de semana. Según varios medios, Telekom Italia TIM también debería verse afectada por el ataque. En algunos casos, el rendimiento de Internet en todo el país se habría derrumbado por un corto tiempo. Pero otros países y muchas empresas siguen teniendo problemas. Ya en 2021 hubo exploits que buscaban la brecha en los servidores ESXi y ejecutaban malware.
Ya hay más de 1.900 servidores ESXi infectados
La actualización llega demasiado tarde para muchos administradores, ya que sus servidores VMware ESXi ya están encriptados por ransomware. Las empresas que aún tengan esta vulnerabilidad y aún no hayan sido descubiertas deben parchear los servidores de inmediato. Según Check Point, más de 1.900 servidores ESXi ya han sido infectados, y la mayoría de las víctimas supuestamente provienen de proveedores de servicios de OVH y Hetzner. También CERT, la autoridad francesa de ciberseguridad., ya ha lanzado un aviso a todas las empresas y operadores de servidores. Las instrucciones de seguridad para parchear la vulnerabilidad y la descripción de los sistemas vulnerables están disponibles en VMware.
Obtenga más información sobre la actualización del servidor en VMware.com