image

Censys: toename van besmette Nederlandse VMware ESXi-servers

donderdag 16 februari 2023, 15:58 door Redactie, 4 reacties

De afgelopen dagen zijn honderden VMware ESXi-servers besmet geraakt met ransomware, waaronder zo'n dertig in Nederland. Dat meldt securitybedrijf Censys op basis van eigen onderzoek. Hoe de aanvallers toegang weten te krijgen is nog altijd onbekend. De afgelopen weken werd vaak gesteld dat de aanvallers gebruikmaakten van een kwetsbaarheid aangeduid als CVE-2021-21974, maar dat is volgens VMware niet bevestigd.

In totaal detecteerde Censys de afgelopen dagen vijfhonderd nieuw besmette ESXi-servers. "De plotselinge toename van aanvallen is met name interessant, omdat de meeste van deze nieuw besmette hosts zich bevinden in Frankrijk, Duitsland, Nederland en het Verenigd Koninkrijk", aldus Censys. In Nederland gaat het om 28 machines. Het securitybedrijf stelt verder aanwijzingen te hebben gevonden dat de huidige ransomware-aanvallen zijn vooraf gegaan door een eerdere aanval in oktober vorig jaar.

Het is nog altijd onduidelijk hoe de aanvallers weten toe te slaan. Eerder liet VMware weten dat de aanvallers geen gebruik van een onbekende kwetsbaarheid maken. Welk beveiligingslek dan wel kan het bedrijf niet zeggen. VMware krijgt bijval van securitybedrijf GreyNoise, dat ook stelt dat de aanvalsvector op dit moment nog onbekend is en er mogelijk meerdere kandidaten zijn.

ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Begin februari werden ESXi-servers wereldwijd het doelwit van een ransomware-aanval. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden.

Reacties (4)
16-02-2023, 16:56 door Anoniem
Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden.
Gelukkig zijn configuratiebestanden nou ook weer niet zo belangrijk. Vervelend als ze weg zijn, zeker als je omgeving
complex is (veel netwerken bijvoorbeeld) maar je kunt ze wel opnieuw maken als het echt moet. Beter dit dan dat je
vmdk files weg zijn!
18-02-2023, 11:29 door Anoniem
Eerder liet VMware weten dat de aanvallers geen gebruik van een onbekende kwetsbaarheid maken. Welk beveiligingslek dan wel kan het bedrijf niet zeggen
GreyNoise weet het ook niet: "The relationship between CVE-2021-21974 and the ransomware campaign may be blown out of proportion. We do not currently know what the initial access vector is"
Ik weet het wel. Bijna alle vmware management software (vcenter) draait op windows. Beheertoegang komt dus vanaf het windowsnetwerk.
20-02-2023, 09:40 door Anoniem
Door Anoniem:
Eerder liet VMware weten dat de aanvallers geen gebruik van een onbekende kwetsbaarheid maken. Welk beveiligingslek dan wel kan het bedrijf niet zeggen
GreyNoise weet het ook niet: "The relationship between CVE-2021-21974 and the ransomware campaign may be blown out of proportion. We do not currently know what the initial access vector is"
Ik weet het wel. Bijna alle vmware management software (vcenter) draait op windows. Beheertoegang komt dus vanaf het windowsnetwerk.

Dit is al lang niet meer zo.
Vcenter heeft al sinds versie 6.5 een linux virtual machine die de vcenter database draait.
20-02-2023, 10:33 door Anoniem
Door Anoniem:
Door Anoniem:
Eerder liet VMware weten dat de aanvallers geen gebruik van een onbekende kwetsbaarheid maken. Welk beveiligingslek dan wel kan het bedrijf niet zeggen
GreyNoise weet het ook niet: "The relationship between CVE-2021-21974 and the ransomware campaign may be blown out of proportion. We do not currently know what the initial access vector is"
Ik weet het wel. Bijna alle vmware management software (vcenter) draait op windows. Beheertoegang komt dus vanaf het windowsnetwerk.

Dit is al lang niet meer zo.
Vcenter heeft al sinds versie 6.5 een linux virtual machine die de vcenter database draait.
Klopt maar die wordt in Nederland (windows bolwerk) niet gedraaid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.