Een grootschalige ransomware-campagne richt de pijlen op verouderde VMWare ESXi-servers. Een patch voor de kwetsbaarheid is al twee jaar beschikbaar.
VMware geeft in een blogpost meer informatie over de aanvallen op zijn ESXi-servers. Volgens VMware zijn er geen aanwijzingen dat de aanvallers zeroday-kwetsbaarheden uitbuiten, maar gaat het om een kwetsbaarheid die al sinds 2021 bekend is. Het advies klinkt dan ook om zo snel mogelijk de servers te updaten en OpenSLP uit te schakelen. Deze versies van ESXi zijn kwetsbaar (via Bleeping Computer):
- ESXI 7.x: alle versies ouder dan ESXi70U1c-17325551
- ESXi 6.7.x: alle versies ouder dan ESXi670-202102401-SG
- ESXi 6.5.x: ESXi650-202102101-SG
Inmiddels zouden er, volgens cijfers die Censys bijhoudt, al meer dan 4.000 VMware ESXi-servers getroffen zijn met ransomware. De aanvallen komen wereldwijd voor, met de meeste aanvallen in Frankrijk, Verenigde Staten, Duitsland en Canada. Er zijn nog geen incidenten bij Belgische bedrijven bekend, maar al wel 86 in Nederland. De Franse nationale cybersecurityorganisatie CERT-FR stuurde op vrijdag een waarschuwing uit naar bedrijven om hun infrastructuur te updaten.
Patch twee jaar beschikbaar
Organisaties die getroffen worden, mogen de hand ook in eigen boezem steken. Kwetsbaarheid CVE-2021-21974 kwam in februari 2021 op de radar toen VMware een patch uitrolde. Twee jaar later blijken duizenden ESXi-servers dus nog niet gepatcht te zijn. Tijdig updates uitvoeren is nochtans één van de basismaatregelen om je te beschermen tegen ransomware.
lees ook
Ransomware: 5 tips om je organisatie te beschermen
Dat is voor veel bedrijven gemakkelijker gezegd dan gedaan, verklaart Stefan Van der Wal, Consulting Solutions Engineer bij Barracuda Netwotks: “Het is niet altijd gemakkelijk voor organisaties om software te updaten. In het geval van deze patch moeten organisaties bijvoorbeeld tijdelijk essentiële onderdelen van hun IT-infrastructuur uitschakelen. Maar dat is veel beter dan getroffen worden door een potentieel schadelijke aanval. Het beveiligen van virtuele infrastructuur is van vitaal belang.”
Aanvallen op virtuele machines
Check Point Software vreest dat grootschalige aanvallen op virtuele machines vaker zullen voorkomen. Het illustreert volgens expert Zahier Madhar een trend in cybercriminaliteit dat ransomware-aanvallen zich niet langer meer beperken tot Windows: “Tot voor kort bleef ransomware beperkt tot op Windows gebaseerde machines. Het is mogelijk dat aanvallers begrijpen hoe cruciaal Linux-servers zijn voor organisaties, waardoor ze hebben geïnvesteerd in tools om deze te kunnen aanvallen.”
Dat verwondert Van der Wal eveneens niet: “Virtuele machines kunnen een aantrekkelijk doelwit zijn voor ransomware omdat er vaak bedrijfskritische diensten of functies op draaien. Een succesvolle aanval kan dus zorgen voor een grote verstoring. Om virtuele infrastructuur volledig te beschermen is het belangrijk om die te scheiden van de rest van het bedrijfsnetwerk.”
Nog maar recent heeft VMware ons ook gewaarschuwd voor een beveiligingslek in Aria Operations for Logs. Als het incident met ESXi je iets zou moeten leren, dan is het wel om de patch voor dit lek onmiddellijk uit te voeren.