Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Hej admini! (i użytkownicy) Lepiej łatajcie ASAP Wasze instancje VMware. Grupa ransomware wykorzystuje podatność klasy RCE żeby przejmować hurtem całe farmy VMek

07 listopada 2020, 21:42 | W biegu | komentarze 3

Z jednej strony wirtualizacja serwerów jest dobra (również ze względu na bezpieczeństwo) – z drugiej strony – co jeśli ktoś przejmie kontrolę nad hypervisorem?

Taki właśnie scenariusz wg doniesień stosuje już jedna z ekip ransomware:

Szczegóły samych wspomnianych wyżej luk znajdują się tutaj (i tutaj) a dotyczą nie tylko komponentu ESXi. VMWare wylicza takie podatne produkty:

  • VMware ESXi
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)
  • NSX-T
  • VMware Cloud Foundation
  • VMware vCenter Server

Producent opisuje sam problem w ten sposób:

OpenSLP as used in ESXi has a use-after-free issue. VMware has evaluated the severity of this issue to be in the Critical severity range with a maximum CVSSv3 base score of 9.8.

A malicious actor residing in the management network who has access to port 427 on an ESXi machine may be able to trigger a use-after-free in the OpenSLP service resulting in remote code execution.

A sprawa jest na tyle gorąca, że na chwilę pisania tego newsa część produktów w polu 'Fixed version’ ma status 'Patch Pending’.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Wojtek

    Dziękuję Michał.

    Odpowiedz
  2. Abadon

    Widze oficerowie cyber jednostki GRU niezle sie bawia. Niedlugo ransomware bedzie na miare pegasusa xd.

    Odpowiedz
  3. Simon
    Odpowiedz

Odpowiedz