Vulnerabilidade corrigida despoleta campanha de ransomware que afeta servidores VMware ESXi

Foram identificadas campanhas maliciosas contra servidores VMware ESXi desprotegidos a nível global, tendo em vista a disseminação em larga escala de ransomware. Os ataques, denominados ESXiArgs, ainda estão a ser analisados, mas com base nas informações disponíveis, acredita-se que os atores maliciosos estão a explorar a CVE-2021-21974, uma vulnerabilidade de alta gravidade que afeta o OpenSLP (Service Location Protocol) e que a VMware corrigiu em fevereiro de 2021.

Nos ataques de ransomware que surgiram no fim de semana, os cibercriminosos exploraram a falha para infiltrar servidores ESXi e implementar uma peça de malware que encripta ficheiros associados a máquinas virtuais, incluindo ficheiros com as extensões .vmdk, .vmxf, .vmsd, .vmsn, .vmsn, .vswp, .vmss, .nvram, .vmem, de acordo com uma análise da OVH, citada pela SecurityWeek.

Os ataques parecem visar servidores ESXi vulneráveis que estão expostos à internet na porta 427. A exploração da vulnerabilidade pode levar um atacante a executar código arbitrário remotamente. 

A CVE-2021-21974 afeta os sistemas:

• ESXi versões 7.x anteriores ao ESXi70U1c-17325551
• ESXi versões 6.7.x anteriores ao ESXi670-202102401-SG
• ESXi versões 6.5.x anteriores ao ESXi650-202102101-SG

Os investigadores da OVH explicaram que o malware desliga os processos das máquinas virtuais antes de iniciar a sua rotina de encriptação, mas a função não parece funcionar corretamente. Em alguns casos, os ficheiros são apenas parcialmente encriptados, permitindo que as vítimas os recuperem sem pagar um resgate, e, até à data, não há provas de que os dados sejam roubados nos ataques.  

A nota de resgate deixada no ESXiArgs informa as vítimas de que os seus dados serão vendidos a menos que seja feito um pagamento de dois bitcoins (cerca de 46 mil dólares no momento de publicação desta notícia) para receber a chave de encriptação necessária para recuperar ficheiros. Contudo, o malware não parece ter capacidades de exfiltração de dados.

Através de uma query da Censys, a Check Point Software afirma que já existem mais de 1.900 dispositivos ESXi infetados, enquanto a maioria das vítimas são de fornecedores de serviços OVH e Hetzner. 

O Centro Nacional de Cibersegurança (CNCS) lançou um alerta sobre a campanha, recomendando a “aplicação de todas as atualizações de segurança disponíveis, bem como a medida de mitigação temporária recomendada pela VMware — desativar o serviço SLP em ESXi hypervisors que não foram atualizados”.