Censys: toename van besmette Nederlandse VMware ESXi-servers
De afgelopen dagen zijn honderden VMware ESXi-servers besmet geraakt met ransomware, waaronder zo'n dertig in Nederland. Dat meldt securitybedrijf Censys op basis van eigen onderzoek. Hoe de aanvallers toegang weten te krijgen is nog altijd onbekend. De afgelopen weken werd vaak gesteld dat de aanvallers gebruikmaakten van een kwetsbaarheid aangeduid als CVE-2021-21974, maar dat is volgens VMware niet bevestigd.
In totaal detecteerde Censys de afgelopen dagen vijfhonderd nieuw besmette ESXi-servers. "De plotselinge toename van aanvallen is met name interessant, omdat de meeste van deze nieuw besmette hosts zich bevinden in Frankrijk, Duitsland, Nederland en het Verenigd Koninkrijk", aldus Censys. In Nederland gaat het om 28 machines. Het securitybedrijf stelt verder aanwijzingen te hebben gevonden dat de huidige ransomware-aanvallen zijn vooraf gegaan door een eerdere aanval in oktober vorig jaar.
Het is nog altijd onduidelijk hoe de aanvallers weten toe te slaan. Eerder liet VMware weten dat de aanvallers geen gebruik van een onbekende kwetsbaarheid maken. Welk beveiligingslek dan wel kan het bedrijf niet zeggen. VMware krijgt bijval van securitybedrijf GreyNoise, dat ook stelt dat de aanvalsvector op dit moment nog onbekend is en er mogelijk meerdere kandidaten zijn.
ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Begin februari werden ESXi-servers wereldwijd het doelwit van een ransomware-aanval. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden.
complex is (veel netwerken bijvoorbeeld) maar je kunt ze wel opnieuw maken als het echt moet. Beter dit dan dat je
vmdk files weg zijn!
Ik weet het wel. Bijna alle vmware management software (vcenter) draait op windows. Beheertoegang komt dus vanaf het windowsnetwerk.
Ik weet het wel. Bijna alle vmware management software (vcenter) draait op windows. Beheertoegang komt dus vanaf het windowsnetwerk.
Dit is al lang niet meer zo.
Vcenter heeft al sinds versie 6.5 een linux virtual machine die de vcenter database draait.
Ik weet het wel. Bijna alle vmware management software (vcenter) draait op windows. Beheertoegang komt dus vanaf het windowsnetwerk.
Dit is al lang niet meer zo.
Vcenter heeft al sinds versie 6.5 een linux virtual machine die de vcenter database draait.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
