VMware ESXi Bajo Ataque - ESXiArgs Ransomware

Nuevos reportes de ataques sobre servidores ESXi se han presentado durante el inicio de febrero y aunque la vulnerabilidad afectada es un viejo conocido, aún parece ser muy efectivo.

VMware ESXi Bajo Ataque - ESXiArgs Ransomware

Durante el inicio del mes de febrero desde ovhcloud se describieron lo que parece ser una nueva serie de ataques sobre servidores ESXi. Estos ataques se caracterizan por encriptar los archivos relacionados con las máquinas virtuales y solicitar rescate para tener acceso a las llaves de cifrado. 

En su actualización del 5 de febrero, mencionan que los ataques se caracterizan por los siguientes aspectos:

  • Se ha identificado la explotación de OpenSLP el cual está asociado a la vulnerabilidad CVE-2021-21974 (aún por confirmar).
  • La encripción se lleva a cabo con una llave publica que se almacena en /tmp/public.pem
  • Las extensiones objetivo identificadas son: ".vmdk",".vmx",".vmxf",".vmsd",".vmsn",".vswp",".nvram",".vmss",".vmem".
  • El malware intenta desbloquear los archivos forzando el apagado de las máquinas virtuales. Esto lo hace tratando de detener abruptamente el proceso VMX. Al parecer este paso no se realiza con éxito en todos los casos, lo que resulta en un número importante de archivos sin encriptar.
  • El malware crea un archivo .args por cada documento encriptado.
  • Al parecer, no se produce ninguna filtración de información.

También se menciona que existen procedimientos que pueden funcionar para desencriptar los archivos, como el publicado por Enes Sönmez en el portal https://enes.dev/ , así mismo también está la herramienta liberada por CISA en Github la cual está basada en el proceso de Enes Sönmez ya mencionado.

Una opción más es revisar (en inglés) la guía de recuperación publicada por CISA aqui: ESXiArgs Ransomware Virtual Machine Recovery Guidance | CISA

Otra de las recomendaciones para prevenir el ataque es la publicada por vMware como workarround la cual incluye deshabilitar OpenSLP.

"VMware now recommends disabling the OpenSLP service in ESXi if it is not used"  - VMware Advisories

Versiones afectadas:

  • Esxi 7.0 versiones anteriores a ESXi70U1c-17325551.
  • Esxi 6.7 versiones anteriores a ESXi670-202102401-SG.
  • Esxi 6.5 versiones anteriores a ESXi650-202102101-SG.

Siempre será recomendable aplicar los parches de seguridad y actualizar a las versiones no vulnerables (ESXi70U1c-17325551, ESXi670-202102401-SG, ESXi650-202102101-SG)

Más información:

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21974

https://kb.vmware.com/s/article/82374