Een niet-gepatchte softwarebug in de ESXi-servers van VMWare wordt misbruikt door hackers met als doel ransomware over de hele wereld te verspreiden.
Niet-gepatchte VMWare-servers worden misbruikt door hackers
Een twee jaar oude softwarekwetsbaarheid in de ESXi-servers van VMWare is het doelwit geworden van een wijdverbreide hackcampagne. Het doel van de aanval is om ESXiArgs, een nieuwe variant van ransomware, in te zetten. Naar schatting zijn honderden organisaties getroffen.
Het Franse Computer Emergency Response Team (CERT) plaatste op 3 februari een verklaring waarin de aard van de aanvallen werd besproken. In de CERT-post, werd geschreven dat de campagnes "lijken te hebben geprofiteerd van de bekendheid van ESXi hypervisors die niet snel genoeg zijn bijgewerkt met beveiligingspatches." CERT merkte ook op dat de beoogde bug "een aanvaller in staat stelt op afstand willekeurige code uit te buiten."
Organisaties zijn aangespoord om de kwetsbaarheid van de hypervisor te patchen om te voorkomen dat ze het slachtoffer worden van deze ransomware-operatie. CERT herinnerde lezers er in de bovengenoemde verklaring echter aan dat "het updaten van een product of software een delicaat is operatie die met de nodige voorzichtigheid moet worden uitgevoerd," en dat "het wordt aanbevolen om zoveel mogelijk tests uit te voeren mogelijk."
VMWare heeft ook gesproken over de situatie
Samen met CERT en diverse andere entiteiten heeft VMWare ook een bericht over deze wereldwijde aanval gepubliceerd. In een VMWare-advies, werd geschreven dat de serverkwetsbaarheid (bekend als CVE-2021-21974) kwaadwillende actoren de mogelijkheid om "het heap-overflow-probleem in de OpenSLP-service te activeren, wat resulteert in externe code executie."
VMWare merkte ook op dat het in februari 2021 een patch voor deze kwetsbaarheid heeft uitgebracht, die kan worden gebruikt om de aanvalsvector van de kwaadwillende operators af te sluiten en zo te voorkomen dat ze het doelwit worden.
Deze aanval lijkt niet door de staat te worden uitgevoerd
Hoewel de identiteit van de aanvallers in deze campagne nog niet bekend is, heeft de Nationale Cybersecurity van Italië gezegd Agency (ACN) dat er momenteel geen bewijs is dat de aanval is uitgevoerd door een staatsentiteit (zoals gerapporteerd door Reuters). Verschillende Italiaanse organisaties werden getroffen door deze aanval, evenals organisaties in Frankrijk, de VS, Duitsland en Canada.
Er zijn suggesties gedaan over wie verantwoordelijk zou kunnen zijn voor deze campagne, met software van verschillende ransomware-families zoals BlackCat, Agenda en Nokoyawa, worden overwogen. De tijd zal leren of de identiteit van de operators kan worden achterhaald.
Ransomware-aanvallen blijven een groot risico vormen
Naarmate de jaren verstrijken, worden steeds meer organisaties het slachtoffer van ransomware-aanvallen. Deze vorm van cybercriminaliteit is ongelooflijk populair geworden onder kwaadwillende actoren, en deze wereldwijde VMWare-hack laat zien hoe wijdverspreid de gevolgen kunnen zijn.
