VOLVER A NOTICIAS
Última HoraAlto

Falla de Escape de Sandbox en VMware ESXi Explotada Activamente en Campañas de Ransomware

3 min de lecturaFuente: BleepingComputer

CISA confirma explotación activa de la vulnerabilidad CVE-2024-37085 en VMware ESXi por grupos de ransomware. Descubre cómo proteger tus sistemas de ataques críticos.

Vulnerabilidad en VMware ESXi Explotada en Ataques de Ransomware, CISA Confirma

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha confirmado que grupos de ransomware están explotando activamente una vulnerabilidad de alta severidad de escape de sandbox en VMware ESXi, previamente utilizada en ataques de día cero. La agencia añadió la falla a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el miércoles, subrayando la urgente necesidad de que las organizaciones apliquen los parches disponibles.

Detalles Técnicos de CVE-2024-37085

La vulnerabilidad, identificada como CVE-2024-37085 (puntaje CVSS pendiente), permite a atacantes con acceso administrativo a una máquina virtual (VM) huésped escapar del sandbox y ejecutar código arbitrario en el hipervisor ESXi subyacente. Este tipo de exploit representa riesgos severos, ya que puede conducir a la compromiso total del sistema, movimiento lateral dentro de las redes y el despliegue de ransomware u otras cargas maliciosas.

VMware lanzó parches para esta falla en su aviso de seguridad de junio de 2024, abordando múltiples vulnerabilidades en los productos ESXi, Workstation y Fusion. Sin embargo, la inclusión de CVE-2024-37085 en el catálogo KEV de CISA indica que los sistemas sin parches siguen siendo un objetivo principal para los actores de amenazas.

Impacto y Panorama de Amenazas

Grupos de ransomware, incluyendo aquellos afiliados a operaciones de alto perfil como LockBit y Black Basta, han atacado históricamente entornos VMware ESXi debido a su prevalencia en infraestructuras empresariales y en la nube. La explotación de CVE-2024-37085 se alinea con una tendencia más amplia de atacantes que se enfocan en plataformas de virtualización para maximizar su impacto.

Las organizaciones que ejecutan servidores ESXi sin parches corren el riesgo de:

  • Compromiso total del hipervisor, permitiendo a los atacantes controlar todas las VMs alojadas.
  • Cifrado de datos y exfiltración, lo que lleva a interrupciones operativas y pérdidas financieras.
  • Movimiento lateral hacia redes conectadas, ampliando el alcance de un ataque.

Recomendaciones para Equipos de Seguridad

CISA insta a las organizaciones a priorizar la aplicación de parches para CVE-2024-37085 de inmediato. Otras mitigaciones incluyen:

  • Aislar VMs críticas de entornos menos seguros para limitar posibles daños.
  • Monitorear actividades inusuales en hosts ESXi, como migraciones inesperadas de VMs o acciones administrativas no autorizadas.
  • Implementar segmentación de red para contener posibles brechas.
  • Revisar los avisos de seguridad de VMware para actualizaciones sobre vulnerabilidades relacionadas (por ejemplo, CVE-2024-37086, CVE-2024-37087).

Para más orientación, consulta el aviso de CISA y la documentación de parches de VMware.

Reportaje original de Sergiu Gatlan para BleepingComputer.

Compartir

TwitterLinkedIn