image

VMware adviseert uitschakelen van OpenSLP-service op ESXi-servers

dinsdag 7 februari 2023, 10:12 door Redactie, 4 reacties

VMware adviseert organisaties om de OpenSLP-service op ESXi-servers uit te schakelen en beschikbare beveiligingsupdates te installeren. Aanleiding is de recente ransomware-aanval op ESXi-servers. De aanvallen maken misbruik van een kwetsbaarheid in de OpenSLP-implementatie van VMware binnen ESXi. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden.

Een kwetsbaarheid in de implementatie van VMware, aangeduid als CVE-2021-21974, maakt het mogelijk voor een aanvaller om willekeurige code op kwetsbare ESXi-servers uit te voeren. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden.

In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Volgens VMware wordt er bij de aanvallen geen misbruik gemaakt van een onbekende kwetsbaarheid. Daarnaast zouden vooral ESXi-versies zijn getroffen waarvan de algemene supportperiode is afgelopen of die al lang geen updates meer hebben ontvangen. VMware adviseert dan ook om systemen te updaten en OpenSLP uit te schakelen. Iets wat standaard door VMware wordt gedaan sinds de lancering van ESXi 7.0 U2c in 2021. Volgens cijfers van securitybedrijf Censys zijn bij de aanval 2400 ESXi-servers versleuteld.

Reacties (4)
07-02-2023, 10:25 door Anoniem
Daarnaast zouden vooral ESXi-versies zijn getroffen waarvan de algemene supportperiode is afgelopen of die al lang geen updates meer hebben ontvangen.
Dit heeft altijd 2 kanten. Ik heb nog ergens een VMware 5.1u3 server als test/experimenteer machine en die wordt niet getroffen want toen werd OpenSLP nog niet ondersteund. Met de updatemanie meelopen heeft ook het risico dat updates nieuwe functionaliteit meebrengen waar dan vervolgens kwetsbaarheden in zitten, terwijl de oudere versie heel die functionaliteit niet had en daar dus niet kwetsbaar voor is. Updaten van die machine zou ook weer het probleem introduceren dat je "flash" nodig hebt in de browser, en de versies die dat niet meer nodig hebben die vereisen een nieuwere CPU dan er in deze 10 jaar oude machine zit.
07-02-2023, 12:44 door Anoniem
Censys scant op “How to Restore Your Files“ echter staat op niet 1 ip-adres poort 427 open.
Mis ik iets?
07-02-2023, 13:17 door Anoniem
Door Anoniem:
Daarnaast zouden vooral ESXi-versies zijn getroffen waarvan de algemene supportperiode is afgelopen of die al lang geen updates meer hebben ontvangen.
Dit heeft altijd 2 kanten. Ik heb nog ergens een VMware 5.1u3 server als test/experimenteer machine en die wordt niet getroffen want toen werd OpenSLP nog niet ondersteund. Met de updatemanie meelopen heeft ook het risico dat updates nieuwe functionaliteit meebrengen waar dan vervolgens kwetsbaarheden in zitten, terwijl de oudere versie heel die functionaliteit niet had en daar dus niet kwetsbaar voor is. Updaten van die machine zou ook weer het probleem introduceren dat je "flash" nodig hebt in de browser, en de versies die dat niet meer nodig hebben die vereisen een nieuwere CPU dan er in deze 10 jaar oude machine zit.

Nou daar ben ik het totaal niet mee eens VMware 5.1 is 2016 EOL gegaan, u mag dan wel niet vatbaar zijn voor deze aanval maar intussen wel vatbaar voor honderden andere ondekte lekken. Wat betreft updatemanie is dit ook onzin, als beheerder plan je je normaal de security patches in, en updates voor nieuwe features bepaal je aan de hand of ze heel belangrijk zijn zo niet dan doe je dat vaak eens per jaar. Flash?? Dit is al jaren geleden uitgefaseerd, dat jij daar tegen aanloopt heb je eenmaal met zo'n oude versie die je eigenlijk niet moet willen gebruiken.
07-02-2023, 19:28 door Anoniem
Door Anoniem:
Door Anoniem:
Daarnaast zouden vooral ESXi-versies zijn getroffen waarvan de algemene supportperiode is afgelopen of die al lang geen updates meer hebben ontvangen.
Dit heeft altijd 2 kanten. Ik heb nog ergens een VMware 5.1u3 server als test/experimenteer machine en die wordt niet getroffen want toen werd OpenSLP nog niet ondersteund. Met de updatemanie meelopen heeft ook het risico dat updates nieuwe functionaliteit meebrengen waar dan vervolgens kwetsbaarheden in zitten, terwijl de oudere versie heel die functionaliteit niet had en daar dus niet kwetsbaar voor is. Updaten van die machine zou ook weer het probleem introduceren dat je "flash" nodig hebt in de browser, en de versies die dat niet meer nodig hebben die vereisen een nieuwere CPU dan er in deze 10 jaar oude machine zit.

Nou daar ben ik het totaal niet mee eens VMware 5.1 is 2016 EOL gegaan, u mag dan wel niet vatbaar zijn voor deze aanval maar intussen wel vatbaar voor honderden andere ondekte lekken. Wat betreft updatemanie is dit ook onzin, als beheerder plan je je normaal de security patches in, en updates voor nieuwe features bepaal je aan de hand of ze heel belangrijk zijn zo niet dan doe je dat vaak eens per jaar. Flash?? Dit is al jaren geleden uitgefaseerd, dat jij daar tegen aanloopt heb je eenmaal met zo'n oude versie die je eigenlijk niet moet willen gebruiken.
Een test/experimenteermachine bij een hobbyist op zolder is iets anders dan een productiemachine in een enterprise omgeving...

Jullie hebben beide gelijk, maar de context waarin je het gebruikt is totaal verschillend.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.