Mejores prácticas de seguridad para VMware ESXi

Los ataques de ransomware dirigidos a servidores ESXi han aumentado de manera exponencial en los últimos meses. Estos ataques aprovechan las vulnerabilidades de la plataforma, ya sea por fallos en el sistema, o por no tener implementadas las mejores prácticas de seguridad. Existen grupos de ransomware que se enfocan en explotar estas vulnerabilidades para cifrar los datos de las víctimas, lo que podría impactar negativamente los procesos y servicios de las organizaciones afectadas.

Ante esta creciente amenaza, el equipo de Inteligencia de Amenazas del CDC de Alestra ha recopilado recomendaciones convenientes para mejorar la seguridad de los sistemas de VMware ESXi. A continuación, se presenta una serie de recomendaciones que pueden ayudar a proteger los servidores ESXi y reducir el riesgo de ataques de ransomware.

Mantener el software actualizado:

• La última versión de VMware ESXi es la 8.0 Update 1d. https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-esxi-80u1d-release-notes/index.html
• Aplicar parches de seguridad y actualizaciones de software de VMware de manera regular.
• Configurar las notificaciones automáticas para las actualizaciones de seguridad.
• Suscribirse a los avisos de seguridad de VMware para recibir notificaciones sobre las vulnerabilidades y amenazas conocidas.
•  

Proceso de respaldos recurrentes:

• Definir una política de respaldos recurrentes.
• Realizar los respaldos en ambiente aislado a la infraestructura operativa.
• Mantener el software/SO de los respaldos en cumplimiento (parches de seguridad, hardening, actualizaciones, perfilamiento de usuarios).

Implementar procesos de gestión de vulnerabilidades:

• Definir proceso de gestión de vulnerabilidades
• Realizar escaneos de vulnerabilidades recurrentes.
• Definir proceso de mitigación de vulnerabilidades definiendo prioridades basadas en riesgos.

Implementar prácticas sólidas de administración de contraseñas:

• Utilizar contraseñas complejas y únicas para todas las cuentas de ESXi.
• Cambiar las contraseñas de forma regular.
• Evitar el uso de contraseñas compartidas o predeterminadas.
• Habilitar la autenticación de dos factores (2FA) si está disponible.

Reducir la superficie de ataque:

• Deshabilitar servicios y puertos innecesarios en los hosts ESXi.
• Limitar el acceso a los hosts ESXi solo a los usuarios y sistemas que lo necesiten.
• Utilizar redes dedicadas para el tráfico de ESXi.
• Segmentar las redes para aislar los hosts ESXi entre sí y de otras redes.

Implementar medidas de seguridad de red:

• Utilizar firewalls para restringir el acceso a los hosts ESXi.
• Habilitar la detección de intrusiones (IDS) y prevención (IPS) para detectar y prevenir ataques.
• Implementar redes privadas virtuales (VPN) para el acceso remoto seguro a los hosts ESXi.

Realizar copias de seguridad y pruebas de recuperación:

• Realizar copias de seguridad regulares de las configuraciones y datos de ESXi.
• Almacenar las copias de seguridad de forma segura y fuera del sitio.
• Probar las copias de seguridad de forma regular para asegurarse de que se pueden restaurar correctamente.

Instalar y mantener soluciones de seguridad:

• Soluciones de última generación: Implementar soluciones de seguridad de última generación en los hosts ESXi y en las redes circundantes. Estas soluciones deben ser capaces de detectar y prevenir una amplia gama de amenazas, incluyendo malware, ransomware, ataques de red y ataques basados en la web.

Fortalecer la configuración de ESXi:

• Habilitar el cifrado de vSphere para proteger los datos en reposo.
• Configurar el registro de auditoría para registrar la actividad del usuario y del sistema.
• Habilitar el modo de bloqueo para evitar accesos no autorizados a la consola de administración directa.
• Utilizar vSphere ESXi Host Profiles para aplicar configuraciones de seguridad estandarizadas en varios hosts.

Utilizar la función de aislamiento de red de vSphere:

• Implementar la función de aislamiento de red de vSphere para aislar las máquinas virtuales individuales o los grupos de máquinas virtuales en caso de un ataque de ransomware.
• Esto puede ayudar a limitar la propagación del ransomware a otras partes del entorno.

Conciencia y capacitación en seguridad:

• Educar a los usuarios sobre las prácticas de seguridad de ESXi.
• Proporcionar capacitación regular sobre seguridad a los administradores de ESXi.
• Implementar un programa de respuesta a incidentes para manejar las violaciones de seguridad.

Desarrollar y probar un plan de respuesta a incidentes:

• Crear un plan de respuesta a incidentes que describa los pasos a seguir en caso de un ataque de ransomware.
• El plan debe incluir procedimientos para identificar y aislar el ataque, restaurar los datos de las copias de seguridad y notificar a las partes interesadas.
• Probar el plan de respuesta a incidentes de forma regular para garantizar que sea eficaz.

Compartir información de seguridad con otros:

• Colaborar con otras organizaciones para compartir información sobre amenazas y mejores prácticas de seguridad.
• Participar en comunidades de seguridad en línea para mantenerse informado sobre las últimas tendencias de ransomware y malware.

La última versión disponible de VMware ESXi (ESXi 8.0 Update 1d) arregla las últimas vulnerabilidades críticas que afectan a este producto [5]:

• CVE-2024-22252 CVSSv3 9.3: Esta vulnerabilidad puede permitirle a un atacante ejecutar código malicioso en los procesos que se están ejecutando de VMX en las máquinas virtuales. Los equipos afectados son aquellos con Workstation o Fusion instalados. Se requieren privilegios administrativos locales.
• CVE-2024-22253 CVSSv3 9.3: Esta vulnerabilidad puede permitirle a un atacante ejecutar código malicioso en los procesos que se están ejecutando de VMX en las máquinas virtuales. Los equipos afectados son aquellos con Workstation o Fusion instalados. Se requieren privilegios administrativos locales.
• CVE-2024-22254 CVSSv3 7.9: Esta vulnerabilidad le permite a un atacante realizar escritura fuera de límites. El autor malicioso requiere privilegios para explotar esta vulnerabilidad.
• CVE-2024-22255 CVSSv3 7.1: Esta vulnerabilidad puede permitirle a un atacante divulgar información en el controlador USB UHCI. Se necesita acceso administrativo para explotar esta vulnerabilidad

La vulnerabilidad CVE-2023-29552 detectada en abril del año pasado está incluida en el catálogo de vulnerabilidad activadas de la CISA. Esta vulnerabilidad tiene un puntaje CVSSv3 de 7.5, y puede permitirle a un atacante generar denegación de servicio (DoS) [6] [7]. Aproximadamente por esas fechas, el grupo de ransomware Babuk fue detectado apuntando a los servidores de ESXi [8], y posteriormente el código fuente de su ransomware fue filtrado.

La aparición del grupo SEXi Ransomware ha generado alertas en los investigadores de ciberseguridad de Latinoamérica, debido a que este ransomware está dirigido solo a las organizaciones de esta región. Una empresa chilena lo identificó por primera vez a finales de marzo de 2024, y desde ahí se detectó en diferentes países de la región. Por otro lado, se han encontrado variantes de este ransomware en la página de virustotal, que tienen como países identificados a México y Ecuador [4]. Este ransomware, como su nombre lo da a entender, está dirigido específicamente a los servidores ESXi de VMware.
 

Referencias

1. https://www.vmware.com/security/hardening-guides.html
2. https://www.hub.trimarcsecurity.com/post/securing-vmware-esxi-part-1
3. https://core.vmware.com/ransomware
4. https://csirt.axtel.com.mx/bulletin/post/182
5. https://www.vmware.com/security/advisories/VMSA-2024-0006.html
6. https://www.cvedetails.com/cve/CVE-2023-29552/
7. https://www.cisa.gov/known-exploited-vulnerabilities-catalog
8. https://csirt.axtel.com.mx/bulletin/post/22
9. https://blogs.vmware.com/explore/2024/02/13/how-to-procect-esxi-and-vsphere-from-ransomware/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios