CTIR GOV ALERTA 01/2023 Atualizações do VMware ESXi

CTIR GOV ALERTA 01/2023 Atualizações do VMware ESXi. Identificado aumento no número de ataques de Ransomware contra hypervisors ESXi .

O CTIR Gov (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo) identificou aumento no número de ataques de Ransomware contra hypervisors ESXi da empresa VMware. As ações maliciosas exploram as vulnerabilidades descritas nas Common Vulnerabilities and Exposures (CVE) abaixo relacionadas:

• https://nvd.nist.gov/vuln/detail/CVE-2021-21972
• https://nvd.nist.gov/vuln/detail/CVE-2021-21973
• https://nvd.nist.gov/vuln/detail/CVE-2021-21974

2. Usuários mal intencionados que possuam acesso à rede do VMware ESXi podem explorar as vulnerabilidades e executar códigos remotamente, podendo obter acesso indevido a dados sensíveis de conexão e comprometer os sistemas.

3. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que identifiquem sistemas VMware ESXi e vCenter Server vulneráveis sob sua responsabilidade e apliquem as devidas atualizações com a urgência que o caso requer, conforme instruções publicadas em:

• https://www.vmware.com/security/advisories/VMSA-2021-0002.html

4. Além do processo de atualização, o CTIR Gov reforça a necessidade de análise e implementação das ações constantes dos guias de configurações de segurança, que contêm boas práticas para administração do vSphere, disponíveis em:

• https://core.vmware.com/security-configuration-guide

5. Recomenda-se ainda a avaliação da real necessidade do serviço SLP no VMware ESXi, disponibilizando-o apenas a endereços IP permitidos. Orienta-se desabilitá-lo se não for efetivamente usado, uma vez que o SLP tem sido identificado como vetor inicial de ataques de Ransomware. Maiores informações sobre a desativação do serviço podem ser encontradas em:

• https://kb.vmware.com/s/article/76372

6. Solicitamos que as ETIR notifiquem imediatamente o CTIR Gov sobre comprometimentos relacionados a ataques de Ransomware, informando IOC’s (Indicadores de Comprometimento) e TTP’s (Técnicas, Táticas e Procedimentos).

7. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação. Referência:

• https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938

8. Os Alertas e Recomendações emitidos pelo CTIR Gov podem ser consultados em:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes

9. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST):

• https://www.gov.br/ctir/pt-br/assuntos/tlp

Fonte: CTIR Gov

Veja também:

• Itália, França e outros países estão sobre forte ataque hacker
• O site que quer que você se mate
• Microsoft pede que administradores apliquem do Exchange patchs urgente
• Como a LGPD pode influenciar os sistemas de videomonitoramento
• Cisco corrige bug que permite persistência de backdoor entre reinicializações
• Novo Ransomware Nevada tem como alvo os sistemas Windows e VMware ESXi
• Interrupção massiva do Microsoft 365
• 10 violações de dados que são o pesadelo dos CISOs
• Ciberguerra na nuvem: como os ataques DDoS foram mitigados em 2022
• Pesquisa revela que 7 em cada 10 empresas pagam por ferramentas de IDM e não usam
• Maior evento sobre monitoramento da América Latina será realizado no Brasil em 2023
• Sistemas de segurança antigos podem ser alvo de ciberataques