image

Door ransomware getroffen VMWare ESXi-servers soms te herstellen

maandag 6 februari 2023, 11:36 door Redactie, 3 reacties

Bedrijven en organisaties van wie de VMWare ESXi-servers bij de recente ransomware-aanval zijn versleuteld kunnen in sommige gevallen hun systemen ontsleutelen. Een beveiligingsonderzoeker heeft hiervoor een manier gevonden. Eind vorige week waarschuwden de Nederlandse en Franse overheid voor actief misbruik van een oude kwetsbaarheid in VMWare ESXi bij ransomware-aanvallen.

ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op afstand code op kwetsbare ESXi-servers uitvoeren. Aanvallers maken nu misbruik van deze kwetsbaarheid.

"Het is nog onduidelijk hoe de aanvallers het systeem binnendringen, het is in ieder geval niet aan te raden om OpenSLP poort 427 benaderbaar te maken via het internet. Het is nog onduidelijk of de kwaadwillenden ook een andere wijze gebruiken om het systeem binnen te dringen", aldus het Digital Trust Center van het ministerie van Economische Zaken. "Indien je organisatie een kwetsbare VMWare ESXi-hypervisor draait, is het raadzaam deze zo spoedig mogelijk te (laten) updaten. Zorg er daarnaast voor dat de ESXi-hypervisor niet benaderbaar is via het internet."

Beveiligingsonderzoeker Enes Sönmez heeft een manier gevonden om getroffen ESXi-omgevingen te herstellen. Hostingprovider OVHcloud zegt de procedure te hebben getest en meldt een succesratio van zo'n 66 procent. Wel vereist het gebruik van de genoemde procedure "sterke vaardigheden" in ESXi-omgevingen, aldus de provider, die opmerkt dat het gebruik op eigen risico is. Inmiddels is ook het Dutch Institute of Vulnerability Disclosure (DIVD) begonnen met het scannen naar kwetsbare systemen en waarschuwen van de betreffende organisaties.

Reacties (3)
06-02-2023, 17:05 door Anoniem
“ het is in ieder geval niet aan te raden om OpenSLP poort 427 benaderbaar te maken via het internet”

Het is niet aan te raden om welke poort dan ook benaderbaar te maken via het internet. Elke virtual host zou slechts vis een VPN of ander afgeschermd (intern) netwerk beschikbaar moeten zijn.
07-02-2023, 09:02 door Anoniem
Er zijn echt bedrijven die hun hele shit aan internet hebben geknoopt, want dan kan de beheerder er ook van thuis bij...
Dan is het snel naar 'het staat open want dan kan iedereen thuis werken'...
En dan is het 'heej, heeft iemand een achtergrondje geplaatst met bitcoins?'
07-02-2023, 10:21 door Anoniem
Door Anoniem: Er zijn echt bedrijven die hun hele shit aan internet hebben geknoopt, want dan kan de beheerder er ook van thuis bij...
Dan is het snel naar 'het staat open want dan kan iedereen thuis werken'...
En dan is het 'heej, heeft iemand een achtergrondje geplaatst met bitcoins?'

Als je dat hebt zal die beheerder een klap in de nek moeten hebben. Op zijn minst via VPN, dan nog een jumphost.

Je infra moeten nooit/never direct te benaderen zijn. Maar vanaf een specifieke jumphost. Voor een bepaald hoeveelheid personen. Alles gesegmenteerd. Zeker als het beheerd wordt door een IT partij, mag ik hopen dat die wat verder denken dan hun neus lang is. Wat helaas niet altijd het geval is....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.