Kwetsbaarheid in VMware ESXi gebruikt bij ransomware-aanval

[Captain Kirk]

Een kwetsbaarheid in VMware ESXi waarvoor op 4 november een beveiligingsupdate verscheen wordt actief bij ransomware-aanvallen misbruikt. Dat meldt de Britse beveiligingsonderzoeker Kevin Beaumont. Naast deze kwetsbaarheid, aangeduid als CVE-2020-3992, maken de aanvallers ook gebruik van een ander ESXi-lek (CVE-2019-5544) waarvoor vorig jaar een update verscheen.

Beaumont meldt in een tweet dat een groep ransomwarecriminelen de twee kwetsbaarheden gebruikt om de beveiliging van Windows te omzeilen, door virtual machines uit te schakelen en de virtual machine disk direct op de hypervisor te versleutelen. Securitybedrijf Rapid7 waarschuwt dat op deze manier virtuele datacentra volledig door ransomware op slot kunnen worden gezet.

Een hypervisor is software voor het maken en draaien van virtual machines. ESXi is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden.

De recent verholpen kwetsbaarheid in ESXi maakt het mogelijk voor een aanvaller die toegang tot poort 427 van een kwetsbare machine heeft om een een use-after-free te veroorzaken en zo op afstand willekeurige code op het systeem uit te voeren. VMware kwam op 20 oktober met een beveiligingsupdate voor deze kwetsbaarheid. De patch bleek echter niet volledig te zijn, waarop er op 4 november een tweede beveiligingsupdate verscheen.

 

bron: https://www.security.nl