Russische hackers gebruiken de Log4Shell-bug om instances van VMware vCenter Server aan te vallen en virtuele machines te versleutelen met ransomware.
Het Russische hackerscollectief Conti heeft het gemunt op VMware vCenter Server. Dat ontdekten de beveiligingsspecialisten van AdvIntel. Net als veel andere grote softwareboeren maakt VMware gebruik van de opensource bibliotheek Log4j, die kwetsbaar is voor de gevaarlijke Log4Shell-zero-day-aanval.
Zowat het hele portfolio van de virtualisatiespecialist is in theorie getroffen. VMware werkt naarstig aan patches en mitigatie-oplossingen, maar voor vCenter Server 7.x, 6.7.x en 6.5.x is er op dit moment nog geen oplossing. Daar maakt Conti misbruik van.
Laterale aanval
De aanval valt op omdat vCenter-servers doorgaans niet zomaar bereikbaar zijn via het publieke internet. Conti gebruikt Log4Shell dan ook niet om binnen te breken op het netwerk van een doelwit, maar rekent daarvoor op andere lekken of meer traditionele technieken zoals phishing. Zodra Conti een aanwezigheid in het netwerk heeft, wordt de bug in Log4j ingezet om lateraal te bewegen en de controle over vCenter Server te nemen. Vervolgens versleutelt de ransomwarebende virtuele machines.
De aanval laat zien hoe Log4Shell ook toepassingen treft die hackers niet via het internet kunnen benaderen. Log4Shell is onder andere erg gevaarlijk omdat het lek in de meeste gevallen geen vooraf bestaande toegang tot een netwerk vereist, maar dat houdt criminele groeperingen zoals Conti niet tegen om de bug in een meer traditionele aanvalsketting te verwerken.