Organisaties die oudere versies van VMWare ESXi-hypervisors gebruiken, leren een harde les over up-to-date blijven met patching van kwetsbaarheden, als een wereldwijde ransomware-aanval over wat VMware beschouwt als "Einde van algemene ondersteuning (EOGS) en/of aanzienlijk verouderde producten", vervolgt.

De aanval wijst echter ook op bredere problemen bij het afsluiten van virtuele omgevingen, zeggen de onderzoekers.

VMware bevestigd in een verklaring 6 februari dat een ransomware-aanval eerst gemarkeerd door het Franse Computer Emergency Response Team (CERT-FR) op 3 februari maakt geen misbruik van een onbekende of "zero-day" fout, maar eerder geïdentificeerde kwetsbaarheden die al door de leverancier zijn gepatcht.

Er werd inderdaad al aangenomen dat de belangrijkste toegangsweg voor een aanval bij een aanval die een nieuwe ransomware-stam genaamd "ESXiArgs" verspreidt, een exploit is voor een 2 jaar oude beveiligingslek met betrekking tot de uitvoering van externe code (RCE) (CVE-2021-21974), wat van invloed is op de Open Service Location Protocol (OpenSLP)-service van de hypervisor.

“Met dit in gedachten adviseren we klanten om te upgraden naar de nieuwste beschikbare ondersteunde releases van vSphere-componenten om momenteel bekende kwetsbaarheden aan te pakken”, vertelde VMware klanten in de verklaring.

Het bedrijf adviseerde ook dat klanten schakel de OpenSLP-service uit in ESXi, iets wat VMware standaard begon te doen in verscheepte versies van het project vanaf 2021 met ESXi 7.0 U2c en ESXi 8.0 GA, om het probleem te verhelpen.

Niet-gepatchte systemen opnieuw in het vizier

De bevestiging van VMware betekent dat de aanval door nog onbekende daders dat wel is dusver duizenden servers in Canada, Frankrijk, Finland, Duitsland, Taiwan en de VS hebben gecompromitteerd, zijn mogelijk vermeden door iets dat alle organisaties duidelijk beter moeten doen: kwetsbare IT-middelen patchen, aldus beveiligingsexperts.

"Dit laat alleen maar zien hoe lang het veel organisaties kost om interne systemen en applicaties te patchen, wat slechts een van de vele redenen is waarom criminelen hun weg naar binnen blijven vinden", zegt Jan Lovmand, CTO van ransomware-beschermingsbedrijf BullWall.

Het is een "droevige waarheid" dat bekende kwetsbaarheden waarvoor een exploit beschikbaar is, vaak niet worden gepatcht, beaamt Bernard Montel, technisch directeur EMEA en beveiligingsstrateeg van Tenable, een bedrijf dat beveiligingsrisico's beheert..

"Hierdoor lopen organisaties een ongelooflijk risico om met succes binnengedrongen te worden", vertelt hij aan Dark Reading. "In dit geval, met de ... VMWare-kwetsbaarheid, is de dreiging immens gezien de actieve uitbuiting."

Maar zelfs gezien de risico's van het ongepatcht laten van kwetsbare systemen, blijft het een complexe kwestie voor organisaties om een ​​evenwicht te vinden tussen de noodzaak om systemen bij te werken en het effect dat de downtime die daarvoor nodig is op een bedrijf kan hebben, erkent Montel.

"Het probleem voor veel organisaties is het evalueren van uptime, versus iets offline halen om te patchen", zegt hij. "In dit geval kan de berekening echt niet eenvoudiger zijn - een paar minuten ongemak of dagen storing."

Virtualisatie is inherent een risico

Andere beveiligingsexperts geloven niet dat de aanhoudende ESXi-aanval zo eenvoudig is als een patchprobleem. Hoewel het ontbreken van patches in dit geval voor sommige organisaties het probleem kan oplossen, is het niet zo eenvoudig als het gaat om het beschermen van gevirtualiseerde omgevingen in het algemeen, merken ze op.

Feit is dat VMware als platform en ESXi in het bijzonder zijn complexe producten om vanuit veiligheidsoogpunt te beheren, en dus gemakkelijke doelwitten voor cybercriminelen, zegt David Maynor, senior director of threat intelligence bij cybersecurity-trainingsbedrijf Cybrary. Inderdaad, meerdere ransomware-campagnes hebben zich alleen al het afgelopen jaar gericht op ESXi, wat aantoont dat slimme aanvallers hun potentieel voor succes erkennen.

Aanvallers krijgen de toegevoegde bonus met de gevirtualiseerde aard van een ESXi-omgeving dat als ze inbreken in één ESXi-hypervisor, die meerdere virtuele machines (VM's) kan besturen of er toegang toe heeft, "het een heleboel andere systemen kan hosten die ook kunnen worden gecompromitteerd zonder enig extra werk, 'zegt Maynor.

Deze virtualisatie, die de kern vormt van elke cloudgebaseerde omgeving, heeft de taak van bedreigingsactoren in veel opzichten gemakkelijker gemaakt, merkt Montel op. Dit komt omdat ze slechts één kwetsbaarheid in één instantie van een bepaalde hypervisor hoeven aan te pakken om toegang te krijgen tot een heel netwerk.

"Bedreigers weten dat als ze zich met één pijl op dit niveau richten, ze hun privileges kunnen verhogen en toegang tot alles kunnen verlenen", zegt hij. “Als ze toegang kunnen krijgen, kunnen ze dat malware pushen om het hypervisorniveau te infiltreren en massale infectie te veroorzaken.

Hoe VMware-systemen te beschermen wanneer u niet kunt patchen

Aangezien de nieuwste ransomware-aanval voortduurt - waarbij de operators bestanden versleutelen en vragen om ongeveer 2 Bitcoin (of $ 23,000 op het moment van schrijven) die binnen drie dagen na het compromitteren of het risico lopen dat gevoelige gegevens vrijkomen — organisaties worstelen met het oplossen van het onderliggende probleem dat zo'n ongebreidelde aanval veroorzaakt.

Het is misschien niet helemaal realistisch om kwetsbare systemen onmiddellijk te patchen of bij te werken. Mogelijk moeten er andere benaderingen worden geïmplementeerd, merkt Dan Mayer op, een dreigingsonderzoeker bij Stairwell. "De waarheid is dat er altijd systemen zullen zijn die niet gepatcht zijn, hetzij vanwege een berekend risico dat door de organisaties wordt genomen, hetzij vanwege beperkte middelen en tijd", zegt hij.

Het risico van het hebben van een niet-gepatcht systeem op zichzelf kan dan worden verkleind door andere beveiligingsmaatregelen, zoals het continu monitoren van de bedrijfsinfrastructuur op kwaadwillende activiteiten en voorbereid zijn om snel te reageren en aanvalsgebieden te segmenteren als zich een probleem voordoet.

Organisaties moeten er inderdaad van uitgaan dat het voorkomen van ransomware "zo goed als onmogelijk is", en zich moeten concentreren op het inzetten van hulpmiddelen "om de impact te verminderen, zoals rampenherstelplannen en contextgeschakelde gegevens", merkt Barmak Meftah, medeoprichter op. bij durfkapitaalbedrijf Ballistic Ventures op het gebied van cyberbeveiliging.

De voortdurende aanval met VMware ESXi-ransomware brengt echter een ander probleem aan het licht dat ertoe bijdraagt ​​dat veel organisaties inherent niet in staat zijn om de nodige preventieve maatregelen te nemen: de vaardigheids- en inkomenskloven over de hele wereld op het gebied van IT-beveiliging, zegt Mayer.

"We hebben niet genoeg bekwame IT-professionals in landen waar rijke bedrijven het doelwit zijn", zegt hij tegen Dark Reading. "Tegelijkertijd zijn er overal ter wereld dreigingsactoren die een beter inkomen kunnen verdienen door hun vaardigheden te gebruiken om geld van anderen af ​​te persen dan wanneer ze legitiem cyberbeveiligingswerk zouden aannemen."

Mayer citeert een rapport door de internationale non-profitorganisatie voor cyberbeveiliging (ICS²) dat gezegd hebbende, om activa effectief te beveiligen, heeft het cyberbeveiligingspersoneel 3.4 miljoen cyberbeveiligingswerkers nodig. Totdat dat gebeurt, "moeten we de opleiding van deze werknemers opvoeren, en terwijl de kloof nog steeds bestaat, moeten we degenen met de vaardigheden over de hele wereld betalen wat ze waard zijn, zodat ze geen deel gaan uitmaken van het probleem", zegt Mayer. .

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.darkreading.com/cloud/ongoing-vmware-esxi-ransomware-attack-virtualization-risks