Poznaj AI! Obejrzyj bezpłatnie szkolenie jutro o godz. 10:00 lub 19:00

Hej admini! (i użytkownicy) Lepiej łatajcie ASAP Wasze instancje VMware. Grupa ransomware wykorzystuje podatność klasy RCE żeby przejmować hurtem całe farmy VMek

07 listopada 2020, 21:42 | W biegu | komentarze 4

Z jednej strony wirtualizacja serwerów jest dobra (również ze względu na bezpieczeństwo) – z drugiej strony – co jeśli ktoś przejmie kontrolę nad hypervisorem?

Taki właśnie scenariusz wg doniesień stosuje już jedna z ekip ransomware:

Szczegóły samych wspomnianych wyżej luk znajdują się tutaj (i tutaj) a dotyczą nie tylko komponentu ESXi. VMWare wylicza takie podatne produkty:

  • VMware ESXi
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)
  • NSX-T
  • VMware Cloud Foundation
  • VMware vCenter Server

Producent opisuje sam problem w ten sposób:

OpenSLP as used in ESXi has a use-after-free issue. VMware has evaluated the severity of this issue to be in the Critical severity range with a maximum CVSSv3 base score of 9.8.

A malicious actor residing in the management network who has access to port 427 on an ESXi machine may be able to trigger a use-after-free in the OpenSLP service resulting in remote code execution.

A sprawa jest na tyle gorąca, że na chwilę pisania tego newsa część produktów w polu 'Fixed version’ ma status 'Patch Pending’.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Wojtek

    Dziękuję Michał.

    Odpowiedz
  2. Abadon

    Widze oficerowie cyber jednostki GRU niezle sie bawia. Niedlugo ransomware bedzie na miare pegasusa xd.

    Odpowiedz
  3. Simon
    Odpowiedz
  4. Dawid

    Czy ktoś z zainteresowanych zastosowaniem obejścia z (KB76372) badał jego wpływ na produkcję?

    Odpowiedz

Odpowiedz