Grupa ransomware wykorzystuje podatność klasy RCE żeby przejmować hurtem całe farmy VMek
źródło: https://sekurak.pl/hej-admini-i-uzytkownicy-lepiej-latajcie-asap-wasze-instancje-vmware-grupa-ransomware-wykorzystuje-podatnosc-klasy-rce-zeby-przejmowac-hurtem-cale-farmy-vmek/
Z jednej strony wirtualizacja serwerów jest dobra (również ze względu na bezpieczeństwo) – z drugiej strony – co jeśli ktoś przejmie kontrolę nad hypervisorem?
Taki właśnie scenariusz wg doniesień stosuje już jedna z ekip ransomware:
Szczegóły samych wspomnianych wyżej luk znajdują się tutaj (i tutaj) a dotyczą nie tylko komponentu ESXi. VMWare wylicza takie podatne produkty:
- VMware ESXi
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
- NSX-T
- VMware Cloud Foundation
- VMware vCenter Server
Producent opisuje sam problem w ten sposób:
OpenSLP as used in ESXi has a use-after-free issue. VMware has evaluated the severity of this issue to be in the Critical severity range with a maximum CVSSv3 base score of 9.8.
A malicious actor residing in the management network who has access to port 427 on an ESXi machine may be able to trigger a use-after-free in the OpenSLP service resulting in remote code execution.
A sprawa jest na tyle gorąca, że na chwilę pisania tego newsa część produktów w polu ‚Fixed version’ ma status ‚Patch Pending’.