Oude kwetsbaarheid in VMware ESXi actief misbruikt

Update

Sinds 3 februari 2023 zijn er aanvalscampagnes actief om VMware ESXi hypervisors te besmetten met ransomware. De aanvallers lijken misbruik te maken van CVE-2021-21974. Sinds 23 februari 2021 zijn er updates beschikbaar gesteld.

De actief aangevallen systemen betreffen ESXi-hypervisors versie 6.X, met een oudere versie dan 6.7. Als je organisatie een kwetsbare VMware ESXi-hypervisor draait, dan raden we aan om deze zo spoedig mogelijk te (laten) updaten.

Extra informatie
Het lijkt in sommige gevallen mogelijk te zijn om het systeem te herstellen, indien er sprake is van encryptie met de.args extensie. Deze oplossing is voor zover nu bekend alleen mogelijk indien de flat-bestanden (virtual disk) niet zijn versleuteld.

Het is nog onduidelijk hoe de aanvallers het systeem binnendringen. Het is in elk geval niet aan te raden om OpenSLP poort 427 benaderbaar te maken via het internet. Onduidelijk is of de kwaadwillenden ook een andere wijze gebruiken om het systeem binnen te dringen.

Indien je organisatie een kwetsbare VMware ESXi-hypervisor draait, is het raadzaam deze zo spoedig mogelijk te (laten) updaten. Zorg er daarnaast voor dat de ESXi-hypervisor niet benaderbaar is via het internet. Je kunt een afweging maken om OpenSLP service (tijdelijk) uit te schakelen.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een script gepubliceerd dat door ransomware getroffen ESXi-servers mogelijk kan herstellen. Het gebruik is wel op eigen risico en CISA waarschuwt dat organisaties zorgvuldig moeten kijken of het script voor hun omgeving geschikt is voordat ze het uitvoeren. 

 


Ernstige kwetsbaarheid in VMware-producten

Oorspronkelijk bericht 25 februari 2021

VMware heeft beveiligingsupdates beschikbaar gesteld waarmee een aantal ernstige kwetsbaarheden worden verholpen. Voor VMware vCenter gaat het om CVE-2021-21972 en CVE-2021-21973. Voor VMware ESXi betreft het CVE-2021-21974
Het Nationaal Cyber Security Center (NCSC) heeft deze kwetsbaarheid ingeschaald als "HIGH/HIGH"; de kans op misbruik op korte termijn én de potentiële schade is groot.

Wat is VMware vCenter en ESXi?

De producten van VMware maken het mogelijk om fysieke servers te virtualiseren. Dit wordt zowel door mkb als door grote bedrijven ingezet. Een VMware ESXi-server wordt gebruikt om de virtuele servers op te draaien, met VMware vCenter-server kunnen de VMware ESXi-server(s) worden beheerd.

Wat is het risico?

De kwetsbaarheden CVE-2021-21972 en CVE-2021-21973 treffen de HTML5 webclient binnen de VMware VCenter-server. Een kwaadwillende met netwerktoegang kan door het uitvoeren van willekeurige code de VMware vCenter-server volledig overnemen.

De kwetsbaarheid CVE-2021-21974 treft de VMware ESXI-server. Kwaadwillenden met directe toegang tot een kwetsbare VMware ESXI-server kunnen door het uitvoeren van willekeurige code de server overnemen.

Het is gebruikelijk om VMware ESXI-servers in een apart netwerk te plaatsen en netwerk toegang tot de HTML5 webclient te beperken. Mocht de HTML5 Client via het internet toegankelijk zijn, dan is de kans op misbruik erg hoog. Ook wanneer deze alleen intern te benaderen is, bestaat het risico dat ook deze misbruikt kan worden door kwaadwillenden die op een andere manier het netwerk binnendringen.

Welke VMware-producten zijn kwetsbaar?

  • VMware ESXi
  • VMware vCenter-server (vCenter Server)
  • VMware Cloud Foundation (Cloud Foundation)
    • Cloud Foundation is een hybride cloudoplossing die ook gebruik maakt van VMware ESXi en VMware vCenter

Wat kun je doen?

Als je gebruik maakt van VMware dan is het belangrijk om zo snel mogelijk de beschikbare beveiligingsupdates te installeren op zowel de VMware vCenter-server als VMWare ESXI-server.

Voer deze zelf uit of bespreek dit met je IT-dienstverlener. Wanneer dit niet op korte termijn mogelijk is, raden wij aan om de beschikbare workarounds toe te passen. Op de webpagina van VMware vind je meer informatie over de beschikbare beveiligingsupdates en workarounds.

Wanneer jouw VMware Vcenter HTML5 webclient beschikbaar is vanaf het internet, dan is het advies om dit te beperken of volledig dicht te zetten. Wanneer toegang via internet toch noodzakelijk is, maak dit dan alleen mogelijk via een VPN-verbinding of beperk de toegang tot vertrouwde IP-adressen.

 

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.