Explotación activa de vulnerabilidad de ejecución remota de código en VMware
En octubre 2023 un investigador de TrendMicro había descubierto y publicado los detalles de una vulnerabilidad crítica en VMware, específicamente, en VMware vSphere. Se trata de una plataforma de gestión para entornos VMware, utilizada para administrar servidores y máquinas virtuales ESX y ESXi. La vulnerabilidad, identificada como CVE-2023-34048, surge de una debilidad de escritura fuera de límites en la implementación del protocolo DCE/RPC de vCenter ypermite que un atacante no autenticado, mediante el envío de peticiones remotas especialmente manipuladas, pueda ejecutar código arbitrario, ganando el control total sobre la plataforma, sin necesidad de interacción por parte de ningún usuario. Cybolt había alertado sobre esa vulnerabilidad mediante la Alerta 2023-06.
Recientemente, casi 3 meses después, se ha empezado a ver que esta vulnerabilidad está siendo utilizada en múltiples ataques. Dada la gravedad de la situación, VMware ha lanzado parches de seguridad incluso para productos que han alcanzado el final de su ciclo de vida sin soporte activo.
Específicamente, se ha reportado que diversos actores están tomando el control de servidores VMware y vendiéndolos en foros de ciberdelincuencia a grupos de ransomware. Actualmente, muchos de los grupos de ransomware, tales como Royal, Black Basta, LockBit, RTM Locker, Qilin, ESXiArgs, Monti y Akira, entre otros, se han destacado por dirigirse directamente a los servidores VMware ESXi de las víctimas para cifrar archivos y exigir cuantiosos rescates.
Podemos visualizar que existen más de 2.200 servidores VMware Center actualmente expuestos en línea, muchos de ellos también en México, con un altísimo potencial de riesgo latente.
En aquellos casos en los que, por alguna razón, no se posible aplicar los parches de manera inmediata, como no existe una mitigación efectiva, VMware recomienda controlar estrictamente el acceso al perímetro de la red a los componentes de administración de vSphere. En caso de que su organización haya tenido la interfaz de VMware vSphere expuesta a Internet, sin parchar, se debe considerar que el mismo probablemente ya se encuentre comprometido y, por tanto, buscar indicios de compromiso no solo en el equipo sino en el resto de la red.
Además, es importante señalar la importancia de un control estricto del acceso al perímetro de la red para todos los componentes e interfaces de gestión en vSphere, así como para los componentes relacionados como los de red y almacenamiento. La empresa advierte sobre los puertos específicos (2012/TCP, 2014/TCP y 2020/TCP) vinculados a posibles explotaciones en ataques dirigidos a esta vulnerabilidad.
Fuentes: