Búsqueda de Ciberamenazas

Prácticas recomendadas de seguridad para entornos ESXi

Diez recomendaciones para los defensores cuando la ejecución nativa de EDR no es una opción

Empresas de todo el mundo utilizan el hipervisor VMware ESXi para la virtualización. ESXi es un hipervisor de tipo 1 (o “bare metal”), lo que significa que se instala directamente en el hardware, en lugar de sobre un sistema operativo como Windows. Es habitual que las empresas ejecuten servidores de misión crítica en uno o varios hosts ESXi, todos ellos gestionados por vCenter Server (la plataforma de VMware para gestionar dichos entornos y sus componentes dependientes).

Por desgracia para los defensores, los propios hosts ESXi no admiten actualmente la ejecución nativa de EDR (detección y respuesta endpoint). Si se activa el registro, ciertos eventos de esos hosts pueden reenviarse a un SIEM, pero esta solución no es la ideal por varias razones. Hay un montón de pequeñas y medianas empresas que no tienen ni un SIEM, ni el personal necesario para supervisar adecuadamente y reaccionar ante los registros y alertas del SIEM. Esta laguna en la protección no ha pasado desapercibida para los atacantes. En particular, demasiados ataques de ransomware a lo largo de los años se han aprovechado de este problema.

El equipo de riesgos gestionados de Sophos responde regularmente a preguntas sobre configuraciones de host inseguras y ofrece orientación sobre cómo solucionarlas. Aunque nada puede sustituir a las conversaciones en profundidad con personas reales, hemos recopilado una lista de las diez mejores prácticas recomendadas para este artículo. Cuando procede, describimos y enlazamos a las instrucciones más actualizadas disponibles, que generalmente mantiene el propio VMware (Broadcom). En unos pocos casos, hemos compartido consejos o trucos que hemos reunido a través de nuestra propia experiencia con estas reparaciones.

¿Por qué ESXi?

¿Qué hace que los hosts ESXi sean tan atractivos para los atacantes? Es una cuestión de velocidad y eficacia, además de la importante cuota de mercado de ESXi.

En términos generales, con configuraciones de host inseguras, un atacante ni siquiera tiene que recurrir al tipo de exploits que el EDR suele señalar; en otras palabras, si apuntan al host, el listón para los atacantes está mucho más bajo. Ten en cuenta como un atacante piensa en esta situación: ¿Por qué enfrentarse al EDR y potencialmente incluso al MDR (detección y respuesta gestionadas), atacando a las propias máquinas virtuales, cuando puedes eludir todas esas protecciones y apuntar al host subyacente, configurado de forma insegura?

Al atacar el host, un ciberdelincuente puede causar rápidamente un daño desproporcionado, cifrando todo un host ESXi, junto con las máquinas virtuales que aloja, literalmente con un clic. Para algunas empresas, un atacante podría seguir causando estragos y exigir el pago de un rescate, si solo cifra la infraestructura ESXi. El equipo de Respuesta a Incidentes de Sophos X-Ops ha escrito sobre posibles métodos para extraer datos de discos virtuales cifrados, pero obviamente es mejor no verse en esa situación.

Afortunadamente, hay cosas que los defensores pueden hacer para interferir en un ataque a ESXi. Como mínimo, estas precauciones ralentizan a los atacantes (dando a los defensores más oportunidades de detectar y responder), e incluso pueden conseguir detener por completo el ataque contra ESXi. Este artículo abarca diez tácticas, con enlaces a materiales de origen e información adicional cuando procede. Sin ningún orden en particular:

  • Asegúrate de que vCenter y los hosts ESXi ejecutan versiones compatibles y están totalmente parcheados

  • Considera la posibilidad de no unir vCenter y los hosts ESXi al dominio

  • Activa el modo de bloqueo normal

  • Desactiva SSH cuando no se utilice

  • Refuerza la complejidad de las contraseñas de vCenter y los hosts ESXi

  • Bloquea la cuenta tras intentos fallidos de inicio de sesión

  • Activa el arranque seguro UEFI

  • Configura el host para que solo ejecute binarios entregados a través de VIB firmados

  • Desactiva los servicios Managed Object Browser (MOB), CIM, SLP y SNMP si no se utilizan

  • Activa el registro persistente

Si te interesa este tema, te recomendamos que leas el artículo completo que está disponible solo en inglés.

Dejar un comentario

Your email address will not be published. Required fields are marked *