Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Hej admini! (i użytkownicy) Lepiej łatajcie ASAP Wasze instancje VMware. Grupa ransomware wykorzystuje podatność klasy RCE żeby przejmować hurtem całe farmy VMek
Z jednej strony wirtualizacja serwerów jest dobra (również ze względu na bezpieczeństwo) – z drugiej strony – co jeśli ktoś przejmie kontrolę nad hypervisorem?
Taki właśnie scenariusz wg doniesień stosuje już jedna z ekip ransomware:
Szczegóły samych wspomnianych wyżej luk znajdują się tutaj (i tutaj) a dotyczą nie tylko komponentu ESXi. VMWare wylicza takie podatne produkty:
- VMware ESXi
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
- NSX-T
- VMware Cloud Foundation
- VMware vCenter Server
Producent opisuje sam problem w ten sposób:
OpenSLP as used in ESXi has a use-after-free issue. VMware has evaluated the severity of this issue to be in the Critical severity range with a maximum CVSSv3 base score of 9.8.
A malicious actor residing in the management network who has access to port 427 on an ESXi machine may be able to trigger a use-after-free in the OpenSLP service resulting in remote code execution.
A sprawa jest na tyle gorąca, że na chwilę pisania tego newsa część produktów w polu 'Fixed version’ ma status 'Patch Pending’.
–ms
Dziękuję Michał.
Widze oficerowie cyber jednostki GRU niezle sie bawia. Niedlugo ransomware bedzie na miare pegasusa xd.
Czyli co jedziemy z workaround https://kb.vmware.com/s/article/76372
i po problemie będzie …