Vulnerabilidad de VMWare explotada para propagar RansomExx Ransomware

Según la investigación, el grupo de ciberdelincuentes detrás de «RansomExx Ransomware» ahora está explotando los errores conocidos en VMWare ESXi, incluidos CVE-2019-5544 y CVE-2020-3992, para difundir este malware en varias máquinas virtuales para compartir el mismo almacenamiento de disco duro. Si no lo sabe, el error CVE-2020-3992 se descubrió en el futuro de OPenSLP en VMWare ESXi en noviembre del año pasado.

ESXi es un hipervisor que utiliza la aplicación para particionar procesadores, almacenamiento, memoria y recursos de red en múltiples máquinas virtuales o máquinas virtuales. Esta vulnerabilidad fue causada por la implementación de OpenSLP en ESXi, lo que provocó un problema de usuario después de la liberación (UAF), y estos errores de UAF generalmente se generan a partir de la utilización incorrecta de la memoria dinámica durante la operación de un programa.

En caso de que algún programa no borre el puntero o la dirección de la memoria después de liberar la ubicación de la memoria, los ciberdelincuentes pueden usar esta vulnerabilidad con fines maliciosos. Según el investigador de seguridad de VMware, los ciberdelincuentes con acceso de red al puerto 427 en el host ESXi o en cualquier dispositivo de administración de Horizon DaaS pueden sobrescribir o engañar el montón del servicio OpenSLP debido a la vulnerabilidad CVE-2019-5544 y generar un código remoto. ejecución.

CVE-2019-5544 y CVE-2020-3992, ambas vulnerabilidades, podrían ayudar a los ciberdelincuentes de la misma red a enviar solicitudes SLP maliciosas a dispositivos ESXi que son vulnerables y, debido a estas fallas, los atacantes podrían obtener el control sobre ellas. No solo la banda de RansomExx Ransomware, la banda de Babuk Locker Ransomware también está llevando a cabo los ataques basados ​​en un escenario similar. Por lo tanto, si usted o su empresa está utilizando los dispositivos VMware ESXi, debe instalar los parches de seguridad publicados para corregir estos dos defectos de inmediato. Además, puede evitar la explicación de estos errores desactivando la compatibilidad con SLP.

Los ciberdelincuentes aprovechan los errores para difundir ransomware como RansomExx Ransomware

Se sabe que los desarrolladores de ransomware usan o explotan los errores en la red, computadoras, software o varias otras vulnerabilidades para inyectar ransomware como RansomExx Ransomware, Bubuk Ransomware y / u otro virus ransomware dañino en sistemas o redes específicas. Se dirigen a empresas y organizaciones en este tipo de campañas.

Como se mencionó, CVE-2019-5544 y CVE-2020-3992 son las dos vulnerabilidades en el producto VMware ESXi que fue explotado por ciberdelincuentes o desarrolladores de ransomware para atacar dispositivos o redes ESXi. Sin embargo, la actualización de los parches de VMware ofrece a los usuarios de VMware ESXi corregir estas vulnerabilidades aplicando el parche y, por lo tanto, pueden evitar que los dispositivos ESXi sufran ataques de ransomware u otros ataques.