Ransomware a servidores con VMware ESXi en todo el mundo (ESXiArgs)
En los últimos días se detectaron varios ataques de un nuevo ramsomware denominado "ESXiArgs" en todo el mundo que tiene como objetivo hipervisores que ejecutan VMWare ESXi con una versión inferior a 7.0 U3i, a través del puerto OpenSLP (427) que no tienen el parche para la vulnerabilidad CVE-2021-21974 ya reportada en 2021.
Este ataque no afecta a ningún servicio gestionado de WNPower. Sin embargo, dado que muchos clientes utilizan este sistema operativo en sus propios servidores autogestionados, proporcionamos esta publicación como referencia.
Recomendaciones para protegerse de esta amenaza:
- Desactivar el servicio OpenSLP / CIMSLP o restringir el acceso solo a direcciones IP de confianza (ESXi proporciona un firewall para ello en su consola y terminal).
- Actualizar VMWare ESXi a su última versión o al menos con el parche de seguridad mencionado (muchas veces es complicado actualizar servidores standalone de ESXi, en cuyo caso otra opción es instalar un nuevo servidor en paralelo y luego mudar las instancias).
Además, siempre se sugiere:
- Realizar copias de seguridad de los datos periódicamente (en lo posible en otro servidor externo o en un almacenamiento remoto).
- Sólo activar los servicios de VMWare necesarios (por defecto trae varias cosas innecesarias y públicas) y autorizados sólo para las direcciones IP que sean necesarias.
- Supervisar el servidor para detectar cualquier comportamiento anormal.
-
Buenas! En el sitio https://enes.dev han publicado info que complementa lo que dice este post, instrucciones detalladas sobre cómo desactivar OpenSLP y también instrucciones para intentar revertir el ramsomware en caso de que ya haya ocurrido.
0 -
Envio informacion de interés
A tool to recover from ESXiArgs ransomware
1 -
Buen aporte Leonardo Sciaccaluga gracias!
0
Iniciar sesión para dejar un comentario.
Comentarios
3 comentarios