Twintigduizend VMware ESXi-servers, waarvan 750 in Nederland, missen een beveiligingsupdate voor een kwetsbaarheid waar aanvallers al maandenlang misbruik van maken bij ransomware-aanvallen. Dat meldt de Shadowserver Foundation op X. VMware kwam op 25 juni met updates voor het beveiligingslek, maar misbruik vond al voor het uitkomen van de patch plaats, aldus Microsoft dat het probleem aan VMware rapporteerde.

ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. De kwetsbaarheid (CVE-2024-37085) zorgt ervoor dat een aanvaller die een Active Directory-groep genaamd 'ESX Admins' kan aanmaken automatisch admin wordt, ook al had de aanvaller deze rechten nog niet.

De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich bezighoudt met de bestrijding van botnets en cybercrime, voerde een online scan uit naar VMware ESXi-servers. Er werden meer dan twintigduizend servers gedetecteerd die de update van VMware niet hebben geïnstalleerd. De stichting omschrijft deze servers als "potentieel kwetsbaar", omdat het mogelijk is dat beheerders wel een workaround hebben doorgevoerd die tegen aanvallen beschermt. Dat kan echter niet via de scan worden achterhaald. Beheerders worden echter opgeroepen de update te installeren.