VMware: OpenSSL.org gehackt via operationele fout
De vandalen die eind december de website OpenSSL.org wisten te hacken en bekladden hebben dit niet gedaan via een beveiligingslek in de software van VMware, maar door een operationele beveiligingsfout die de hostingprovider had gemaakt, zo laat het bedrijf weten.
OpenSSL is de opensource implementatie van de SSL- en TLS-protocollen, die voor allerlei toepassingen worden gebruikt. Vanwege het belang van de software en het feit dat die op veel servers is geïnstalleerd reageerde de security-gemeenschap geschrokken op de defacement. In een eerdere korte verklaring stelden de ontwikkelaars dat de broncode en aangeboden software op OpenSSL.org niet waren aangepast.
Exacte details zijn nog altijd niet bekendgemaakt, maar op 30 december verklaarden de ontwikkelaars van OpenSSL dat de aanval via de hypervisor van de hostingprovider had plaatsgevonden. Een hypervisor of Virtual Machine Monitor (VMM) is software voor het draaien en beheren van Virtual Machines. Veel hostingproviders gebruiken het om op één fysieke server meerdere Virtual Machines voor klanten aan te maken.
Onderzoek
VMware ontwikkelt software voor het maken en beheren van Virtual Machines. Vanwege de melding van OpenSSL dat de aanval op de hypervisor van de hostingprovider was gericht besloot het VMware Security Response Center een onderzoek in te stellen of het om de software van VMware ging en of er sprake van een beveiligingslek was.
"We hebben geen reden om aan te nemen dat de defacement van de OpenSSL-website het gevolg is van een beveiligingslek in VMware-producten en dat de defacement is veroorzaakt door een operationele beveiligingsfout", aldus een verklaring van VMware. Om wat voor operationele fout het gaat laat VMware niet weten, maar in de verklaring geeft het tips voor het gebruik van software om virtual machines mee te beheren, zoals het installeren van beveiligingsupdates.
"Our investigation found that the attack was made through insecure passwords at the hosting provider,
leading to control of the hypervisor management console, which then was used to manipulate our virtual server."
En VMware suggereert in zijn verklaring dat de betreffende management console vCenter Server is:
"In the event that Virtual Center is directly Internet facing VMware recommends customers remain current with patches and updates and that they follow the best practices in the vSphere Security Hardening guides"
Welke ISP gaat zijn vCenter Server nou aan het Internet hangen?!?
Veel. De meeste providers hebben geen eigen DC en dus ook geen LAN beheernetwerk.
Veel. De meeste providers hebben geen eigen DC en dus ook geen LAN beheernetwerk.
Een ISP die nog nooit gehoord heeft van een apart netwerk voor beheer daar zou ik snel wegwezen!
Het minimum wat je kunt doen is toch wel een VPN maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
