La importancia de parchear vulnerabilidades para evitar ataques como el de VMware ESXi
Ciudad de México a 16 de febrero. – Parchear a tiempo las vulnerabilidades en un software ayuda a que los negocios no sean víctimas de ataques masivos de ransomware. Recientemente, diversos organismos de seguridad alertaron por un ataque de este tipo realizado a los servidores de VMware ESXi, donde los atacantes impidieron el acceso al sistema y a los archivos personales hasta que se realice un pago a cambio. Este tipo de ataques es uno de los más comunes de acuerdo con el Informe Retrospectivo del Panorama de Amenazas de 2021 realizado por Tenable, donde se encontró que al menos el 44% de todas las violaciones de datos en América Latina de ese año a nivel mundial fueron de este tipo.
Si bien el daño a los servidores VMware ESXi se reportó recientemente, para poder llevarlo a cabo, los atacantes aprovecharon dos vulnerabilidades detectadas desde 2021, las cuales en su momento fueron clasificadas como críticas. Aunque VMware publicó el 23 de febrero de 2021 el parche correspondiente para corregir la vulnerabilidad en los productos afectados, no fue aplicado por todos los clientes, usuarios, ni administradores de sistemas, dejando la vulnerabilidad sin parchear por casi dos años.
A principios de febrero, la Agencia Nacional de Ciberseguridad (ACN) de Italia advirtió a las organizaciones que tomen medidas para proteger sus sistemas ya que el ataque afectó el hipervisor ESXi de VMWare, uno de los más populares del mercado desde hace más de una década. Por otro lado, la Agencia Nacional de Ciberseguridad e infraestructura de los Estados Unidos publicó una guía de recuperación.
Desafortunadamente, los hipervisores son uno de los activos que con más frecuencia se pasan por alto en el programa de gestión de vulnerabilidades de una organización, ya que su aplicación obliga a desconectar varias máquinas virtuales, afectado momentáneamente las operaciones del negocio, por lo que las empresas deciden postergarlos o no aplicarlos y esto es aprovechado por los atacantes, de acuerdo con Tenable, compañía de exposición cibernética. Además, algunas organizaciones tienen interfaces de gestión de sus hipervisores expuestas directamente a la Internet pública, lo que prácticamente garantiza que se conviertan en blanco de ataques regulares.
“Si bien el problema para muchas organizaciones es evaluar el tiempo de actividad que se pierde al desconectar el sistema para parchearlo, es recomendable tener en cuenta que unos minutos de molestias son mejores que varios días de interrupción tras un ataque de ransomware.” Bernard Montel, Director Técnico y Estrategista de Seguridad, en Tenable EMEA. “Es imperativo que los equipos de seguridad dentro de las organizaciones determinen cómo abordar las vulnerabilidades encontradas minimizando el impacto en la compañía, en lugar de dejar los fallos conocidos sin abordar o parches ya disponibles sin instalar en los sistemas”, finalizó.
Además de VMware, algunas compañías que han sido víctimas de este tipo de ataques son Open Source, ManageEngine, PrintNightmare y ProxyShell. En todos ellos, las amenazas se centraron en la falta de aplicación de parches y el abuso de los derechos de administrador para atravesar la red e infligir daños, e incluso pedir un rescate por sistemas de información y datos confidenciales.
