Grupa ransomware wykorzystuje podatność klasy RCE żeby przejmować hurtem całe farmy VMek

źródło: https://sekurak.pl/hej-admini-i-uzytkownicy-lepiej-latajcie-asap-wasze-instancje-vmware-grupa-ransomware-wykorzystuje-podatnosc-klasy-rce-zeby-przejmowac-hurtem-cale-farmy-vmek/

Z jednej strony wirtualizacja serwerów jest dobra (również ze względu na bezpieczeństwo) – z drugiej strony – co jeśli ktoś przejmie kontrolę nad hypervisorem?

Taki właśnie scenariusz wg doniesień stosuje już jedna z ekip ransomware:

Szczegóły samych wspomnianych wyżej luk znajdują się tutaj (i tutaj) a dotyczą nie tylko komponentu ESXi. VMWare wylicza takie podatne produkty:

  • VMware ESXi
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)
  • NSX-T
  • VMware Cloud Foundation
  • VMware vCenter Server

Producent opisuje sam problem w ten sposób:

OpenSLP as used in ESXi has a use-after-free issue. VMware has evaluated the severity of this issue to be in the Critical severity range with a maximum CVSSv3 base score of 9.8.

A malicious actor residing in the management network who has access to port 427 on an ESXi machine may be able to trigger a use-after-free in the OpenSLP service resulting in remote code execution.

A sprawa jest na tyle gorąca, że na chwilę pisania tego newsa część produktów w polu ‚Fixed version’ ma status ‚Patch Pending’.