Cuidado!!, Ransomware ESXiArgs, Vmware ESXi 6.x vulnerables y Herramienta de Recuperación de CISA
El CERT de Francia, publicó una alerta indicado que existe una campaña de explotación de una vulnerabilidad que afecta a VMware ESXi Fuente CERT FR (F1), fecha del primer lanzamiento 03 febrero 2023, el CERT FR se dio cuenta de campañas de ataque dirigidas a los hipervisores VMWware ESXi con el objetivo de implementar ransomware!!!
Según Shodan: Realizando una busquedad : html:”We hacked your company successfully” title:”How to Restore Your Files”, existen 1,779 resultados:
Según CERT FR:
Los sistemas objetivo actualmente serían los hipervisores ESXi en la versión 6.x y anteriores a la 6.7. Sin embargo, CERT-FR recuerda que las vulnerabilidades que afectan a SLP se refieren a los siguientes sistemas:
- Versiones de ESXi 7.x anteriores a ESXi70U1c-17325551
- Versiones de ESXi 6.7.x anteriores a ESXi670–202102401-SG
- Versiones de ESXi 6.5.x anteriores a ESXi650–202102101-SG
SOLUCIÓN
[Actualizado el 5 de febrero de 2023]
CERT-FR ha confirmado que los discos de máquinas virtuales se pueden recuperar cuando los archivos de configuración ( .vmdk ) se cifran y se les cambia el nombre con una extensión .args. De hecho, en este caso, el archivo que contiene el disco virtual (file -flat.vmdk ) no está encriptado. Varios procedimientos probados con éxito están documentados [1].
Definición:
Existen campañas masivas que están explotando la vulnerabilidad CVE-2021–21974 (F2), esta vulnerabilidad es del año 2021 y permite la ejecución remota (RCE), aprovecha un desbordamiento de pila en el servicio openSLP (Service Location Protocol, 427/tcp).
CERT-FR recomienda enfáticamente:
1)- Aislar el servidor afectado;
2)- En la medida de lo posible, realice un análisis de los sistemas para detectar cualquier signo de compromiso [2], la aplicación de parches por sí sola no es suficiente, es probable que un atacante ya haya depositado un código malicioso;
3)- Favorecer una reinstalación del hipervisor en una versión compatible con el editor (ESXi 7.x o ESXi 8.x);
4)- Aplique todos los parches de seguridad y siga los avisos de seguridad futuros de los proveedores;
5)- Deshabilite los servicios innecesarios en el hipervisor (como el servicio SLP [3]);
6)- Bloquear el acceso a los distintos servicios de administración, ya sea a través de un firewall dedicado o a través del firewall integrado en el hipervisor e implementar una red de administración local, así como una capacidad de administración remota si es necesario (a través de una red privada virtual, VPN o, en su defecto, filtrando las direcciones IP de confianza).
Según Vmware:
Alerta de vmware, Advisory ID: VMSA-2021–0002 (F3)
CVSSv3 Range: 5.3–9.8
Issue Date: 2021–02–23
Updated On: 2021–02–23 (Initial Advisory)
CVE(s):CVE-2021–21972, CVE-2021–21973, CVE-2021–21974
Productos afectados:
- VMware ESXi
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)
Vectores de ataques conocidos:
Un actor malintencionado con acceso de red al puerto 443 puede explotar este problema para ejecutar comandos con privilegios
sin restricciones en el sistema operativo subyacente que aloja vCenter Server.
3a. Las actualizaciones de VMware vCenter Server solucionan la vulnerabilidad de ejecución remota de código en vSphere Client (CVE-2021–21972)
Vectores de ataque conocidos:
Un actor malintencionado con acceso de red al puerto 443 puede explotar este problema para ejecutar comandos con privilegios
sin restricciones en el sistema operativo subyacente que aloja vCenter Server.
Resolución : Para remediar CVE-2021–21972, aplique las actualizaciones enumeradas en la columna ‘Versión corregida’ de la ‘Matriz de respuesta’ a continuación a las implementaciones afectada
3b. Vulnerabilidad de desbordamiento de montón en ESXi OpenSLP (CVE-2021–21974)
Vectores de ataque conocidos:
Un actor malintencionado que resida en el mismo segmento de red que ESXi y que tenga acceso al puerto 427 puede desencadenar
el problema de desbordamiento del montón en el servicio OpenSLP, lo que resulta en la ejecución remota de código.
Resolución: Para remediar CVE-2021–21974, aplique las actualizaciones enumeradas en la columna “Versión corregida” de la “Matriz de respuestas” a continuación a las implementaciones afectadas.
3c. Las actualizaciones de VMware vCenter Server abordan la vulnerabilidad SSRF en vSphere Client (CVE-2021–21973)
Vectores de ataque conocidos:
Un actor malicioso con acceso de red al puerto 443 puede explotar este problema enviando una solicitud POST al complemento
de vCenter Server que conduce a la divulgación de información.
Resolución: Para remediar CVE-2021–21973, aplique las actualizaciones enumeradas en la columna ‘Versión corregida’ de la ‘Matriz de respuesta’ a continuación a las implementaciones afectadas.
Segun CISA (Cybersecurity and Infraestructure Security Agency):
Ha publicado una herramienta que permite recuperar maquinas
virtuales afectadas por el ransowmare ESXiArgs:
Uso:
1. Descargue este script y guárdelo como /tmp/recover.sh. Por ejemplo, con wget:wget -O /tmp/recover.sh https://raw.githubusercontent.com/cisagov/ESXiArgs-Recover/main/recover.sh
2. Otorgue permisos de ejecución al script: chmod +x /tmp/recover.sh
Navegue a la carpeta de una máquina virtual que le gustaría descifrar (puede explorar estas carpetas ejecutando ls /vmfs/volumes/datastore1). Por ejemplo, si la carpeta se llama example, ejecutecd /vmfs/volumes/datastore1/example
3. Ejecutar ls para ver los archivos. Anote el nombre de la máquina virtual (por ejemplo, si hay un archivo example.vmdk, el nombre de la máquina virtual es example).
4. Ejecute el script de recuperación con /tmp/recover.sh [name], donde [name] está el nombre de la máquina virtual determinado en el paso
5. Si la máquina virtual tiene un formato delgado, ejecute /tmp/recover.sh [name] thin.
6. Si tiene éxito, la secuencia de comandos del descifrador mostrará que se ha ejecutado correctamente. Si no tiene éxito, esto puede significar que sus máquinas virtuales no se pueden recuperar.
7 Si el script tuvo éxito, el último paso es volver a registrar la máquina virtual.
8. Si no se puede acceder a la interfaz web de ESXi, siga los siguientes pasos para eliminar la nota de rescate y restaurar el acceso (tenga en cuenta que al seguir los pasos a continuación, la nota de rescate se mueve al archivo ransom.html. Considere archivar este archivo para una futura revisión de incidentes).
- Correr cd /usr/lib/vmware/hostd/docroot/ui/ & mv index.html ransom.html & mv index1.html index.html
- Correr cd /usr/lib/vmware/hostd/docroot & mv index.html ransom.html & rm index.html & mv index1.html index.html
- Reinicie el servidor ESXi (por ejemplo, con el rebootcomando). Después de unos minutos, debería poder navegar a la interfaz web.
9. En la interfaz web de ESXi, vaya a la página Máquinas virtuales.
10. Si la máquina virtual que restauró ya existe, haga clic derecho en la máquina virtual y seleccione “Anular registro”.
11. Seleccione “Crear/Registrar VM”.
12. Seleccione “Registrar una máquina virtual existente”.
13. Haga clic en “Seleccionar una o más máquinas virtuales, un almacén de datos o un directorio” para navegar a la carpeta de la máquina virtual que restauró. Seleccione el archivo vmx en la carpeta.
14. Seleccione “Siguiente” y “Finalizar”. Ahora debería poder usar la máquina virtual con normalidad.
Si es necesario, el script guardará los archivos cifrados en una nueva encrypted_filescarpeta dentro del directorio de cada máquina virtual.
Fuentes:
Fuente F1: CERT FR Francia, https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/
Fuente F2: CVE-2021–21974 Detail, https://nvd.nist.gov/vuln/detail/CVE-2021-21974
Fuente F3: VMWARE Advisory ID: VMSA-2021–0002, https://www.vmware.com/security/advisories/VMSA-2021-0002.html
Fuente F5: Shodan resultados: https://www.shodan.io/search?query=html%3A%22We+hacked+your+company+successfully%22+title%3A%22How+to+Restore+Your+Files%22
Fuente F6: CISA Recuperación de ESXiArgs, https://github.com/cisagov/ESXiArgs-Recover
