De afgelopen weken raakten duizenden VMware ESXi-servers besmet met ransomware, maar de infectiemethode is nog altijd onbekend. Lange tijd werd gedacht dat de aanvallers een kwetsbaarheid aangeduid als CVE-2021-21974 zouden gebruiken, maar daar is nog altijd geen bewijs voor gevonden. Sterker nog, het lijkt erop dat de OpenSLP-implementatie van ESXi geen rol bij de aanvallen speelt.
ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Bij de recente ransomware-aanvallen worden de configuratiebestanden op de ESXi-servers versleuteld, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden.
In eerste instantie werd gedacht dat de aanvallers gebruikmaakten van CVE-2021-21974, waardoor remote code execution mogelijk is. Het beveiligingslek bevindt zich specifiek in de OpenSLP-implementatie van ESXi. SLP (Service Location Protocol) is een protocol waarmee netwerkapplicaties het bestaan, de locatie en configuratie van netwerkdiensten op het netwerk kunnen vinden. Naar aanleiding van de aanvallen adviseerde VMware om de OpenSLP-service op ESXi-servers uit te schakelen en beschikbare updates te installeren.
VMware kwam vervolgens met een FAQ waarin het stelde dat de aanvalsvector nog altijd onbekend is. Een week na de laatste update op 16 februari is daar geen verandering in gekomen. Securitybedrijf Censys deed eerder al onderzoek naar het aantal getroffen servers en besloot te kijken hoeveel van de getroffen ESXi-servers OpenSLP heeft draaien. Sinds de metingen op 15 februari begonnen bleek dat maximaal negen procent van alle getroffen servers per dag SLP hadden draaien.
"Gegeven het relatief lage aantal besmette servers dat ook SLP draait, is het waarschijnlijk dat andere kwetsbaarheden of toegangsmethodes bij deze aanvallen zij betrokken", aldus Censys. Ook VMware stelt dat. "Er is geen garantie dat de SLP-kwetsbaarheden degene zijn die gebruikt worden." Bij de laatste meting van eerder deze week telde Censys nog meer dan duizend besmette ESXi-servers. Organisaties worden dan ook opgeroepen om de laatste ESXi-updates te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.