Hackers maken actief misbruik van een vrij recente kwetsbaarheid in software van VMware. Zo kunnen ze servers overnemen en eigen code uitvoeren.
Aanvallers maken misbruik van een pas ontdekte kwetsbaarheid in de software van VMware. De HTML5 vSphere Client bevat een bug waarmee hackers langs de Virtual SAN Health Check-plug-in toegang kunnen krijgen tot een server zonder authenticatie. Die plugin staat standaard actief in vCenter Server.
Hackers kunnen vervolgens zonder restricties code uitvoeren en een web shell installeren. Zo verwerven ze in essentie administratortoegang tot de server. De aanval vereist wel dat de servers toegankelijk zijn via poort 443.
Ernstig
Het lek krijgt een score van 9,8 op 10 en is dus heel ernstig. Beveiligingsspecialisten ontdekten dat er al functionele exploits online staan die effectief ingezet worden door hackers. Aanvallers gaan dus actief opzoek naar kwetsbare servers. VMware lanceerde op 25 mei al een patch die de kwetsbaarheid oplost. Administrators doen er dus goed aan die update zo snel mogelijk te installeren.
vCenter Server wordt vooral gebruikt voor het beheer van virtuele omgevingen in datacenters. Het lek treft dus vooral grotere instanties. Er zouden meer dan 5.600 kwetsbare servers aan het internet gekoppeld zijn momenteel. In februari kwam de vSphere Client van VMware ook al in het nieuws omwille van een gevaarlijke bug.