image

"Bijna 19.000 VMware ESXi-servers missen update voor aangevallen lek"

vrijdag 10 februari 2023, 12:03 door Redactie, 15 reacties

Bijna negentienduizend VMware ESXi-servers missen de beveiligingsupdate waar de huidige ransomware-aanvallen vermoedelijk actief misbruik van maken. Daarnaast hebben de aanvallers bij negenhonderd al besmette servers een nieuwe ransomware-versie geïnstalleerd waarvoor de eerdere herstelscripts niet werken. Dat melden securitybedrijf Rapid7 en Censys.

ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. In februari 2021 kwam VMWare met beveiligingsupdates voor meerdere kwetsbaarheden in de software, waaronder CVE-2021-21974. Via dit beveiligingslek kan een aanvaller op kwetsbare servers code uitvoeren. De huidige ransomware-aanvallen zouden misbruik van deze kwetsbaarheid maken.

Volgens Rapid7 zijn er op internet nog bijna negentienduizend ESXi-servers te vinden waar de beveiligingsupdate voor CVE-2021-21974 niet is geïnstalleerd. Dat stelt het securitybedrijf op basis van eigen onderzoek. Bij de aanvallen wordt de ESXiArgs-ransomware geïnstalleerd. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden.

Onderzoekers ontdekten een manier om de versleutelde configuratiebestanden op basis van een onversleuteld flat-bestand te herstellen. Vervolgens kwam de Amerikaanse overheid met een eigen herstelscript. In een reactie op deze ontdekking kwamen de aanvallers met een nieuwe ransomware-versie die deze kwetsbaarheid niet bevat en niet via het herstelscript is te herstellen. Securitybedrijf Censys laat weten dat de aanvallers deze ransomware op al besmette ESXi-servers uitrollen. Al meer dan negenhonderd gecompromitteerde servers hebben deze "upgrade" ontvangen.

Daarnaast stellen de onderzoekers van het bedrijf dat de aanvallers geen gebruikmaken van een kwetsbaarheid in OpenSLP, zoals aanwezig in CVE-2021-21974. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Naar aanleiding van de aanvallen kregen beheerders het advies om OpenSLP op ESXi-servers uit te schakelen, maar verschillende slachtoffers van de ransomware laten weten dat dit bij hun al het geval was. Dat zou suggereren dat de aanvallers geen gebruik van CVE-2021-21974 maken, aldus Censys. Wat dan wel de gebruikte aanvalsvector is laat het bedrijf niet weten.

Reacties (15)
10-02-2023, 12:22 door Anoniem
In een reactie op deze ontdekking kwamen de aanvallers met een nieuwe ransomware-versie die deze kwetsbaarheid niet bevat en niet via het herstelscript is te herstellen.
Toch mooi hoe snel ze een patch voor een zero day-lek uitrollen ;-)
10-02-2023, 14:41 door Anoniem
Er zijn natuurlijk een hoop ESXi servers die particulier gebruikt worden, dus geen support en GEEN auto-UPDATE hebben...
Het updaten van ESXi is ook niet iets wat je leuk vind om te doen, erg omslachtig om met de hand te gaan doen.
Heb het nu 2 keer gedaan op een 'gratis' variant en ik ga het ook niet meer doen. Sterker nog, ben nu de boel aan het migreren naar Linux KVM.... gaat de performance op mijn AMD proliants ook weer omhoog.
10-02-2023, 15:15 door Anoniem
Door Anoniem: Er zijn natuurlijk een hoop ESXi servers die particulier gebruikt worden, dus geen support en GEEN auto-UPDATE hebben...
Het updaten van ESXi is ook niet iets wat je leuk vind om te doen, erg omslachtig om met de hand te gaan doen.
Heb het nu 2 keer gedaan op een 'gratis' variant en ik ga het ook niet meer doen. Sterker nog, ben nu de boel aan het migreren naar Linux KVM.... gaat de performance op mijn AMD proliants ook weer omhoog.
Kijk ook eens naar Proxmox.
10-02-2023, 15:19 door Bitje-scheef
Wellicht interessant proxmox of Xen.
10-02-2023, 20:03 door Anoniem
Door Anoniem: Er zijn natuurlijk een hoop ESXi servers die particulier gebruikt worden, dus geen support en GEEN auto-UPDATE hebben...
Het updaten van ESXi is ook niet iets wat je leuk vind om te doen, erg omslachtig om met de hand te gaan doen.
Heb het nu 2 keer gedaan op een 'gratis' variant en ik ga het ook niet meer doen. Sterker nog, ben nu de boel aan het migreren naar Linux KVM.... gaat de performance op mijn AMD proliants ook weer omhoog.
Heel goed! Check ook https://www.ovirt.org/
10-02-2023, 20:19 door Anoniem
Door Bitje-scheef: Wellicht interessant proxmox of Xen.
Xen is te oud geworden en ingewikkeld. Proxmox is meer een management platform wat met KVM integreert.
KVM is een linux kernel module. Dat biedt zo veel voordelen (o.a beschikbare drivers voor je hardware en manier van patchen).
Wat mij prettig heeft verrast is het VM management via: https://cockpit-project.org/ wat standaard al geïnstalleerd is vanaf rhel8
10-02-2023, 22:07 door Anoniem
Door Anoniem:
Door Bitje-scheef: Wellicht interessant proxmox of Xen.
Xen is te oud geworden en ingewikkeld. Proxmox is meer een management platform wat met KVM integreert.
KVM is een linux kernel module. Dat biedt zo veel voordelen (o.a beschikbare drivers voor je hardware en manier van patchen).
Wat mij prettig heeft verrast is het VM management via: https://cockpit-project.org/ wat standaard al geïnstalleerd is vanaf rhel8
Zeker interessant, bedankt voor de input!
10-02-2023, 22:10 door Anoniem
Door Anoniem:
Door Bitje-scheef: Wellicht interessant proxmox of Xen.
Xen is te oud geworden en ingewikkeld. Proxmox is meer een management platform wat met KVM integreert.
KVM is een linux kernel module. Dat biedt zo veel voordelen (o.a beschikbare drivers voor je hardware en manier van patchen).
Wat mij prettig heeft verrast is het VM management via: https://cockpit-project.org/ wat standaard al geïnstalleerd is vanaf rhel8
Ben al een hele tijd geleden overgestapt van VMWare naar Proxmox PVE en Proxmox PBS en het is een verademing t.o.v. VMWare.
11-02-2023, 16:01 door Anoniem
Door Anoniem:
Door Anoniem:
Door Bitje-scheef: Wellicht interessant proxmox of Xen.
Xen is te oud geworden en ingewikkeld. Proxmox is meer een management platform wat met KVM integreert.
KVM is een linux kernel module. Dat biedt zo veel voordelen (o.a beschikbare drivers voor je hardware en manier van patchen).
Wat mij prettig heeft verrast is het VM management via: https://cockpit-project.org/ wat standaard al geïnstalleerd is vanaf rhel8
Ben al een hele tijd geleden overgestapt van VMWare naar Proxmox PVE en Proxmox PBS en het is een verademing t.o.v. VMWare.
Vind ik ook, daarnaast is vmware veel te duur. Meer voor de windowsomgeving.
11-02-2023, 20:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Bitje-scheef: Wellicht interessant proxmox of Xen.
Xen is te oud geworden en ingewikkeld. Proxmox is meer een management platform wat met KVM integreert.
KVM is een linux kernel module. Dat biedt zo veel voordelen (o.a beschikbare drivers voor je hardware en manier van patchen).
Wat mij prettig heeft verrast is het VM management via: https://cockpit-project.org/ wat standaard al geïnstalleerd is vanaf rhel8
Ben al een hele tijd geleden overgestapt van VMWare naar Proxmox PVE en Proxmox PBS en het is een verademing t.o.v. VMWare.
Vind ik ook, daarnaast is vmware veel te duur. Meer voor de windowsomgeving.
Ook Windows gaat prima onder Promox.
11-02-2023, 22:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Bitje-scheef: Wellicht interessant proxmox of Xen.
Xen is te oud geworden en ingewikkeld. Proxmox is meer een management platform wat met KVM integreert.
KVM is een linux kernel module. Dat biedt zo veel voordelen (o.a beschikbare drivers voor je hardware en manier van patchen).
Wat mij prettig heeft verrast is het VM management via: https://cockpit-project.org/ wat standaard al geïnstalleerd is vanaf rhel8
Ben al een hele tijd geleden overgestapt van VMWare naar Proxmox PVE en Proxmox PBS en het is een verademing t.o.v. VMWare.
Vind ik ook, daarnaast is vmware veel te duur. Meer voor de windowsomgeving.
Ook Windows gaat prima onder Promox.
Klopt maar dat draait dan onder Linux KVM want proxmox is alleen management systeem en geen hypervisor.
12-02-2023, 12:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Bitje-scheef: Wellicht interessant proxmox of Xen.
Xen is te oud geworden en ingewikkeld. Proxmox is meer een management platform wat met KVM integreert.
KVM is een linux kernel module. Dat biedt zo veel voordelen (o.a beschikbare drivers voor je hardware en manier van patchen).
Wat mij prettig heeft verrast is het VM management via: https://cockpit-project.org/ wat standaard al geïnstalleerd is vanaf rhel8
Ben al een hele tijd geleden overgestapt van VMWare naar Proxmox PVE en Proxmox PBS en het is een verademing t.o.v. VMWare.
Vind ik ook, daarnaast is vmware veel te duur. Meer voor de windowsomgeving.
Ook Windows gaat prima onder Promox.
Klopt maar dat draait dan onder Linux KVM want proxmox is alleen management systeem en geen hypervisor.
Proxmox supports full virtualization with Kernel-based Virtual Machine (KVM), which is a virtualization infrastructure that turns the Linux kernel into a hypervisor. It also supports container-based virtualization with Linux Containers (LXC), an OS-level virtualization method that has been included in Proxmox VE since version 4.0. Proxmox includes a bare-metal installer, web-based management interface and many command-line tools. It also has a Representational State Transfer (REST) API that supports third-party tools.
12-02-2023, 13:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Bitje-scheef: Wellicht interessant proxmox of Xen.
Xen is te oud geworden en ingewikkeld. Proxmox is meer een management platform wat met KVM integreert.
KVM is een linux kernel module. Dat biedt zo veel voordelen (o.a beschikbare drivers voor je hardware en manier van patchen).
Wat mij prettig heeft verrast is het VM management via: https://cockpit-project.org/ wat standaard al geïnstalleerd is vanaf rhel8
Ben al een hele tijd geleden overgestapt van VMWare naar Proxmox PVE en Proxmox PBS en het is een verademing t.o.v. VMWare.
Vind ik ook, daarnaast is vmware veel te duur. Meer voor de windowsomgeving.
Ook Windows gaat prima onder Promox.
Klopt maar dat draait dan onder Linux KVM want proxmox is alleen management systeem en geen hypervisor.
Deze uitspraak snap ik niet als ik het volgende lees over Proxmox,
Proxmox Virtual Environment (VE) is a type-1 hypervisor that runs directly on the host machine’s hardware
12-02-2023, 13:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Bitje-scheef: Wellicht interessant proxmox of Xen.
Xen is te oud geworden en ingewikkeld. Proxmox is meer een management platform wat met KVM integreert.
KVM is een linux kernel module. Dat biedt zo veel voordelen (o.a beschikbare drivers voor je hardware en manier van patchen).
Wat mij prettig heeft verrast is het VM management via: https://cockpit-project.org/ wat standaard al geïnstalleerd is vanaf rhel8
Ben al een hele tijd geleden overgestapt van VMWare naar Proxmox PVE en Proxmox PBS en het is een verademing t.o.v. VMWare.
Vind ik ook, daarnaast is vmware veel te duur. Meer voor de windowsomgeving.
Ook Windows gaat prima onder Promox.
Klopt maar dat draait dan onder Linux KVM want proxmox is alleen management systeem en geen hypervisor.
Deze uitspraak snap ik niet als ik het volgende lees over Proxmox,
Proxmox Virtual Environment (VE) is a type-1 hypervisor that runs directly on the host machine’s hardware
Dat gaat over de KVM omgeving, die is op debian linux gebasseerd maar support ook Linux Containers (LXC).
13-02-2023, 13:56 door Anoniem
Heeft er denk ik vooral mee te maken met het feit dat het zeer omslachtig is om ESXI te updaten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.