Em um alerta recente, a VMware pediu que seus clientes desabilitem o serviço OpenSLP e instalem as atualizações de segurança mais recentes.
A VMware alertou os clientes para instalar as atualizações de segurança mais recentes e desabilitar o serviço OpenSLP direcionado a uma campanha em larga escala de ataques de ransomware contra servidores ESXi vulneráveis e expostos à Internet.
VMware pediu que seus clientes desabilitem o serviço OpenSLP
A empresa acrescentou que os invasores não estão explorando uma vulnerabilidade de dia zero e que esse serviço está desativado por padrão nas versões de software ESXi lançadas desde 2021.
Os agentes de ameaças também visam produtos que estão “significativamente desatualizados” ou que já atingiram o fim do suporte geral (EOGS), de acordo com a VMware.
“A VMware não encontrou evidências que sugiram que uma vulnerabilidade desconhecida (dia 0) esteja sendo usada para propagar o ransomware usado nesses ataques recentes”, disse a VMware.
“A maioria dos relatórios afirma que o fim do suporte geral (EOGS) e/ou produtos significativamente desatualizados estão sendo alvo de vulnerabilidades conhecidas que foram abordadas e divulgadas anteriormente nos VMware Security Advisories (VMSAs).
“Com isso em mente, estamos aconselhando os clientes a atualizarem para as últimas versões com suporte disponíveis dos componentes do vSphere para lidar com as vulnerabilidades conhecidas atualmente. Além disso, a VMware recomendou a desativação do serviço OpenSLP no ESXi.”
O aviso da VMware ocorre depois que agentes de ameaças desconhecidos começaram a criptografar servidores VMware ESXi sem correção contra uma falha de segurança OpenSLP (CVE-2021-21974) que agentes de ameaças não autenticados podem explorar para obter execução remota de código em ataques de baixa complexidade.
Conhecido como ransomware ESXiArgs, esse malware foi implantado como parte de uma onda massiva de ataques em andamento que já afetou milhares de alvos vulneráveis em todo o mundo (mais de 2.400 servidores, de acordo com dados atuais do Censys).
Os invasores usam o malware para criptografar .vmxf, .vmx, .vmdk, .vmsd e .nvra em servidores ESXi comprometidos e implantar notas de resgate chamadas “ransom.html” e “How to Restore Your Files.html”.
Michael Gillespie, do ID Ransomware, analisou uma cópia do criptografador ESXiArgs e disse ao site BleepingComputer que, infelizmente, é um criptografador seguro sem bugs de criptografia que permitiriam a descriptografia.
O pesquisador de segurança Enes Sonmez compartilhou um guia que pode permitir que os administradores de VMware afetados por esses ataques reconstruam suas máquinas virtuais e recuperem dados gratuitamente.