Oude kwetsbaarheid in VMWare ESXi wordt actief misbruikt

Via collega CERT-organisaties en particuliere onderzoekers heeft het NCSC informatie ontvangen dat een ernstige, twee jaar oude kwetsbaarheid in VMWare ESXi wederom actief wordt misbruikt. Dit keer om ransomware te plaatsen op ESXi-systemen die nog niet voorzien zijn van de beveiligingsupdate.

Het NCSC heeft voor deze kwetsbaarheid in 2021 een beveiligingsadvies gepubliceerd. In dat jaar is reeds actief misbruik waargenomen. Het beveiligingsadvies heeft de inschaling HIGH/HIGH.

Het NCSC adviseert nogmaals met klem om ESXi-systemen te voorzien van alle benodigde beveiligingsupdates.

Stefan van der Wal, Consulting Solutions Engineer, EMEA, Application Security bij Barracuda Networks, zegt in een redactie op de ransomware-aanval op VMware systemen dat naast het patchen, dit soort kritieke systemen moeten worden gescheiden van het zakelijke bedrijfsnetwerk: “De wijdverspreide ransomware-aanvallen tegen ongepatchte VMware ESXi-systemen in Europa en elders lijken gebruik te hebben gemaakt van een kwetsbaarheid waarvoor in 2021 een patch beschikbaar is gesteld. Dit benadrukt opnieuw hoe belangrijk het is om kritieke software-infrastructuursystemen zo snel mogelijk te updaten. Het is niet altijd gemakkelijk voor organisaties om software te updaten. In het geval van deze patch moeten organisaties bijvoorbeeld tijdelijk essentiële onderdelen van hun IT-infrastructuur uitschakelen. Maar dat is veel beter dan getroffen worden door een potentieel schadelijke aanval. Het beveiligen van virtuele infrastructuur is van vitaal belang. Virtuele machines kunnen een aantrekkelijk doelwit zijn voor ransomware omdat er vaak bedrijfskritische diensten of functies op draaien. Een succesvolle aanval kan dus zorgen voor een grote verstoring. Het is vooral belangrijk om ervoor te zorgen dat de toegang tot de beheerconsole van een virtueel systeem beveiligd is en niet gemakkelijk toegankelijk is via een gecompromitteerd account op het bedrijfsnetwerk. Om virtuele infrastructuur volledig te beschermen is het belangrijk om te scheiden van de rest van het bedrijfsnetwerk, bij voorkeur als onderdeel van een Zero-Trust aanpak. Organisaties die ESXi inzetten, moeten onmiddellijk updaten naar de nieuwste versie, als ze dat nog niet hebben gedaan. En ze zouden volledige securityscan van hun servers moeten uitvoeren om er zeker van te zijn dat ze niet gecompromitteerd zijn.”