Os hipervisors VMware ESXi são alvo de uma nova onda de ataques projetados para implantar ransomware em sistemas comprometidos. Essas campanhas de ataque exploram o CVE-2021-21974, para o qual um patch está disponível desde 23 de fevereiro de 2021. A VMware, em seu próprio alerta divulgado na época, descreveu o problema como uma vulnerabilidade no OpenSLP que poderia levar à execução de código arbitrário. “Um ator mal-intencionado residindo na mesma rede que o ESXi e com acesso à porta 427 pode desencadear o problema de estouro de heap no serviço OpenSLP, resultando na execução remota de código”, observou o provedor de serviços de virtualização.

O provedor francês de serviços em nuvem OVHcloud disse que os ataques estão sendo detectados globalmente com foco específico na Europa. Suspeita-se que as invasões estejam relacionadas a uma nova variedade de ransomware baseada em Rust chamada Nevada, que surgiu em dezembro de 2022. Recomenda-se que os usuários atualizem para a versão mais recente do ESXi para mitigar possíveis ameaças, bem como restringir o acesso ao serviço OpenSLP a endereços IP confiáveis.

Fonte: BoletimSec