Las organizaciones que utilizan versiones anteriores de hipervisores VMWare ESXi están aprendiendo una dura lección sobre cómo mantenerse al día con los parches de vulnerabilidades, ya que un ataque de ransomware international en lo que VMware ha considerado «Fin del soporte general (EOGS) y/o significativamente fuera de servicio». productos de dátiles» continúa.
Sin embargo, la avalancha también señala problemas más amplios en el bloqueo de entornos virtuales, dicen los investigadores.
vmware confirmado en un comunicado 6 de febrero que un ataque de ransomware primero marcado por el Equipo Francés de Respuesta a Emergencias Informáticas (CERT-FR) el 3 de febrero no está explotando una falla desconocida o de «día cero», sino vulnerabilidades previamente identificadas que ya han sido reparadas por el proveedor.
De hecho, ya se creía que la principal vía de compromiso en un ataque que propaga una nueva variedad de ransomware denominada «ESXiArgs» es un exploit para una vulnerabilidad de seguridad de ejecución remota de código (RCE) de 2 años (CVE-2021-21974), que afecta al servicio Open up Service Place Protocol (OpenSLP) del hipervisor.
«Con esto en mente, recomendamos a los clientes que actualicen a las últimas versiones compatibles disponibles de Componentes de vSphere para abordar las vulnerabilidades actualmente conocidas», dijo VMware a los clientes en el comunicado.
La compañía también recomendó que los clientes deshabilitar el servicio OpenSLP en ESXi, algo que VMware comenzó a hacer de forma predeterminada en las versiones enviadas del proyecto a partir de 2021 con ESXi 7. U2c y ESXi 8. GA, para mitigar el problema.
Sistemas sin parches nuevamente en la mira
La confirmación de VMware significa que el ataque de perpetradores aún desconocidos que hasta ahora miles de servidores comprometidos en Canadá, Francia, Finlandia, Alemania, Taiwán y los EE. UU. pueden haber sido evitados por algo que todas las organizaciones claramente deben mejorar: parchear los activos de TI vulnerables, dijeron los expertos en seguridad.
«Esto solo demuestra cuánto tardan muchas organizaciones en parchear los sistemas y aplicaciones internos, que es solo una de las muchas razones por las que los delincuentes siguen encontrando su camino», señala Jan Lovmand, CTO de la firma de protección contra ransomware BullWall.
Es una «triste verdad» que las vulnerabilidades conocidas con un exploit disponible a menudo se dejan sin parchear, coincide Bernard Montel, director técnico de EMEA y estratega de seguridad de la empresa de administración de exposición de seguridad Tenable..
«Esto pone a las organizaciones en un peligro increíble de ser penetradas con éxito», le dice a Darkish Studying. «En este caso, con la… vulnerabilidad de VMWare, la amenaza es inmensa dada la explotación activa».
Sin embargo, incluso dados los riesgos de dejar los sistemas vulnerables sin parchear, sigue siendo un problema complejo para las organizaciones equilibrar la necesidad de actualizar los sistemas con el efecto que el tiempo de inactividad requerido para hacerlo puede tener en una empresa, reconoce Montel.
«El problema para muchas organizaciones es evaluar el tiempo de actividad, en lugar de desconectar algo para parchearlo», dice. «En este caso, el cálculo realmente no podría ser más sencillo: unos minutos de inconveniencia o días de interrupción».
La virtualización es inherentemente un riesgo
Otros expertos en seguridad no creen que el ataque ESXi en curso sea tan sencillo como un problema de parches. Aunque la falta de parches puede resolver el problema para algunas organizaciones en este caso, no es tan easy cuando se trata de proteger entornos virtualizados en standard, señalan.
El hecho es que VMware como plataforma y ESXi en unique son productos complejos para administrar desde una perspectiva de seguridad y, por lo tanto, objetivos fáciles para los ciberdelincuentes, dice David Maynor, director senior de inteligencia de amenazas en la firma de capacitación en seguridad cibernética Cybrary. De hecho, varias campañas de ransomware se han dirigido a ESXi solo en el último año, lo que demuestra que los atacantes inteligentes reconocen su potencial para el éxito.
Los atacantes obtienen la ventaja adicional con la naturaleza virtualizada de un entorno ESXi de que si ingresan a un hipervisor ESXi, que puede controlar/tener acceso a varias máquinas virtuales (VM), «podría albergar muchos otros sistemas que también podrían ser comprometida sin ningún trabajo adicional», dice Maynor.
De hecho, esta virtualización que está en el corazón de cada entorno basado en la nube ha facilitado la tarea de los actores de amenazas de muchas maneras, señala Montel. Esto se debe a que solo tienen que apuntar a una vulnerabilidad en una instancia de un hipervisor en individual para obtener acceso a una crimson completa.
“Los actores de amenazas saben que apuntar a este nivel con una flecha puede permitirles elevar sus privilegios y otorgar acceso a todo”, dice. «Si pueden obtener acceso, pueden empujar el malware para infiltrarse en el nivel del hipervisor y causar una infección masiva».
Cómo proteger los sistemas VMware cuando no puede aplicar parches
A medida que persiste el último ataque de ransomware, con sus operadores cifrando archivos y solicitando alrededor de 2 Bitcoin (o $ 23,000 en el momento de la publicación) para ser entregados dentro de los tres días posteriores al compromiso o arriesgarse a la divulgación de datos confidenciales — las organizaciones lidian con la forma de resolver el problema subyacente que crea un ataque tan desenfrenado.
Parchar o actualizar cualquier sistema susceptible de inmediato puede no ser del todo realista, es posible que se deban implementar otros enfoques, señala Dan Mayer, investigador de amenazas en Stairwell. «La verdad es que siempre habrá sistemas sin parchear, ya sea debido a un riesgo calculado asumido por las organizaciones o debido a limitaciones de recursos y tiempo», dice.
El riesgo de tener un sistema sin parches en sí mismo puede mitigarse con otras medidas de seguridad, como monitorear continuamente la infraestructura empresarial en busca de actividad maliciosa y estar preparado para responder rápidamente y segmentar áreas de ataque si surge un problema.
De hecho, las organizaciones deben actuar asumiendo que prevenir el ransomware «es casi imposible» y centrarse en implementar herramientas «para disminuir el impacto, como planes de recuperación ante desastres y datos modificados por contexto», señala Barmak Meftah, socio fundador. en la firma de money de riesgo de ciberseguridad Ballistic Ventures.
Sin embargo, el ataque de ransomware VMware ESXi en curso destaca otro problema que contribuye a la incapacidad inherente de muchas organizaciones para tomar las medidas preventivas necesarias: las brechas de habilidades e ingresos en todo el mundo en el ámbito de la seguridad de TI, dice Mayer.
«No tenemos suficientes profesionales de TI calificados en países donde las empresas ricas son objetivos», le dice a Dark Looking through. «Al mismo tiempo, hay actores de amenazas en todo el mundo que pueden ganarse la vida mejor aprovechando sus habilidades para extorsionar a otros que si hicieran un trabajo legítimo de seguridad cibernética».
Mayer cita un informe por la organización internacional de ciberseguridad sin fines de lucro (ICS2) dicho esto, para proteger los activos de manera efectiva, la fuerza laboral de ciberseguridad necesita 3,4 millones de trabajadores de ciberseguridad. Hasta que eso suceda, «necesitamos aumentar la capacitación de estos trabajadores, y mientras la brecha aún existe, pagarles a quienes tienen las habilidades en todo el mundo lo que valen, para que no se conviertan en parte del problema», dice Mayer. .
