Vmware es una de las grandes empresas que hoy en día impera, entre otras, el sector de la virtualización. Estos sistemas de virtualización permiten a los usuarios poder virtualizar distintos servicios y máquinas, reduciendo así el coste de infraestructura y ayudando a su centralización. Su programa de virtualización ESXI es uno de los programas más utilizados en las empresas a nivel mundial. Tener las maquinas virtualizadas, ayuda, en parte, a que no sufran fallos físicos, pero eso no las hace invulnerables a los ciberataques.
Estos últimos meses han aparecido dos vulnerabilidades bastante críticas que afectan a estos sistemas, y en este artículo os explicamos el por qué. Las vulnerabilidades en cuestión son las siguientes: CVE-2019-5544 y CVE-2020-3992 catalogadas de gravedad alta por INCIBE (Instituto Nacional de Ciberseguridad) y que afectan completamente o parcialmente a la integridad, confidencialidad y disponibilidad del sistema.
Los ataques
El primer ataque se registró en octubre de 2020, cuando una banda criminal llamada RansomExx consiguió, mediante estas dos vulnerabilidades, cifrar los discos duros de los servidores. Ambas vulnerabilidades afectan a OpenSLP, tecnología que permite descubrir los servicios que la red está ofreciendo, incluyendo en este caso a los servidores de ESXI del fabricante VMware.
El ataque consistía en acceder a un dispositivo conectado a una red empresarial y esta brecha para tomar el control del ESXI mediante una solicitud maliciosa. Una vez los criminales disponían del control del servidor de virtualización, procedían a cifrar los discos duros donde las máquinas virtuales almacenaban sus datos. Esto, evidentemente, causaba un grave problema para la empresa dado que estos servidores se utilizan para centralizar gran parte de los servicios que se ofrecen, tanto para uso interno como, en algunas ocasiones, al exterior.
Aunque de momento sólo se ha visto a RansomExx utilizar esta metodología, no es el único que puede causar un daño importante a las empresas. A inicios de este 2021, el ransomware llamado Babuk Locker ha conseguido el dudoso honor de haber cifrado a una gran cantidad de empresas.
Los delincuentes, una vez cifrado el disco, vendían las contraseñas por medio de foros clandestinos ubicados en la Deep web consiguiendo así un mayor beneficio, además del rescate solicitado a la víctima para la recuperación de los datos.
La solución
Por suerte, VMware ya ha sacado un parche para estas dos vulnerabilidades, aunque no se actualizan automáticamente. Esto puede suponer un problema para los servidores que no tengan un mantenimiento continuado, ya que podrían no aplicarse los parches y seguir con una brecha de seguridad, sin saberlo.
Aunque existe una solución a este problema, esto no hace que cese este tipo de ataques, dado que hoy en día, tristemente, funcionan con bastante efectividad. Una de las mejores prácticas en lo que respecta a los ataques es tener copias y réplicas de seguridad de las máquinas, y a poder ser en un servidor de backups o incluso en cintas físicas, apartadas de los servidores en la nube. Adicionalmente, dado que el protocolo SLP viene por defecto activado, sería recomendable desactivarlo si no se utiliza. Una de las medidas para evitar potenciales ataques sería recibir un curso de prevención de phishing para evitar que este tipo de ataques entren desde dispositivos corporativos.
Si te preocupa que tu empresa sufra uno de los ataques de los que hablamos en este artículo, o te gustaría revisar otros temas relacionados con la ciberseguridad a nivel empresarial, puedes dejarnos un comentario o ponerte en contacto con nosotros en el 945 067 219, o en el email eteekin@orekait.com. Nosotros, por nuestra parte, os seguiremos informando de las brechas críticas en materia de seguridad.