Aviso sobre amenazas de ciberseguridad:

Aviso sobre amenazas de ciberseguridad:

VMware ESXi bajo ataque BlackByte el responsable

El grupo de Ransomware BlackByte esta explotando activamente CVE-2024-37085, una vulnerabilidad de omisión de autenticación recientemente parcheada en los hipervisores VMware ESXi. La explotación de esta falla ha llevado a la implementación de Ransomware en las redes de las víctimas. El grupo de Ransomware BlackByte lo ha marcado como un vector de ataque clave en sus operaciones.

¿Cuál es la amenaza?

Los atacantes pueden eludir la autenticación en sistemas VMware ESXi integrados con un dominio de Active Directory (AD) mediante CVE-2024-37085, que les otorga acceso administrativo completo. La vulnerabilidad radica en la forma en que el servidor ESXi maneja esta respuesta del controlador de dominio de AD. Los atacantes pueden aprovechar esta falla interceptando y manipulando el tráfico de autenticación entre el servidor ESXi y el controlador de dominio. Para lograrlo, los atacantes falsifican una respuesta para engañar al servidor ESXi y hacerle creer que el usuario que intenta iniciar sesión ha sido autenticado, aunque el usuario no haya proporcionado credenciales validas. Esta respuesta falsificada puede incluir información que otorga al atacante privilegios administrativos en el servidor ESXi

El atacante obtiene acceso administrativo completo al hipervisor una vez que el servidor ESXi acepta la respuesta falsificada. Este nivel de acceso le permite al atacante controlar todos los aspectos del entorno virtualizado, incluida la creación, modificación o eliminación de maquinas virtuales y la alteración de la configuración del propio hipervisor. Con el control administrativo, el atacante puede implementar Ransomware en todas las máquinas virtuales alojadas en los servidores ESXi comprometidos. El Ransomware se puede ejecutar a través de scripts o comandos directos, lo que lleva al cifrado de datos en cada maquina virtual. Una vez que se completa el cifrado, el atacante generalmente exige el pago de un rescate a cambio de las claves de descifrado.

¿Por qué es de relevancia?

La capacidad de los atacantes para obtener acceso administrativo sin credenciales validas aumenta significativamente los tipos de ataques contra la infraestructura virtualizada. Además, dado que la vulnerabilidad existe en sistemas integrados con Active Directory (configuración común en las redes empresariales), significa que una gran cantidad de organizaciones podrían estar en riesgo. La rápida adopción del xploit por parte del grupo de Ransomware BlackByte subraya aun mas la urgencia de abordar este problema, ya que indica un alto nivel de sofisticación y coordinación entre los atacantes.

¿Cuál es el riesgo?

Las organizaciones que utilizan sistemas VMware ESXi integrados con Active Directory enfrentan un riesgo mayor, especialmente si no han aplicado los parches necesarios para mitigar esta vulnerabilidad. La explotación es grave, ya que los atacantes aprovechan con éxito CVE-2024-37085 pueden obtener acceso sin restricciones al entorno virtual, lo que podría llevar a una toma de control total de las operaciones de la red. Este acceso puede resultar en el cifrado de entornos virtuales completos, lo que lleva a la perdida de datos, la interrupción de los servicios y costosas demandas de rescate.

Recomendaciones

Las siguientes recomendaciones son para mantener su entorno seguro:

  • Aplique los últimos parches publicados por CVE-2024-37085 en todos los servidores ESXi.
  • Aplique mecanismos de autenticación sólidos y privilegios mínimos a los sistemas ESXi integrados con Active Directory.
  • Aísle los entornos virtuales críticos de otras partes de la red para limitar el impacto potencial de un xploit.
  • Elimine las políticas de PN heredadas y asegurarse de que los intentos de autenticación que no coincidan con una política de VPN actual se rechacen de forma predeterminada. Restrinja el acceso a VPN solo a los segmentos y servicios de red necesarios para limitar la exposición de activos críticos como los controladores de dominio.
  • Realice copias de seguridad periódicas de las maquinas virtuales y pruebe los procedimientos de recuperación para asegurarse de que sean eficaces contra escenarios de Ransomware.
  • Priorice el “envio verificado” como método de MFA sobre opciones menos seguras, como SMS o llamadas telefónicas, para todos los accesos remotos y conexiones en la nube.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

JR

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.