VMware: OpenSSL.org gehackt via operationele fout
De vandalen die eind december de website OpenSSL.org wisten te hacken en bekladden hebben dit niet gedaan via een beveiligingslek in de software van VMware, maar door een operationele beveiligingsfout die de hostingprovider had gemaakt, zo laat het bedrijf weten.
OpenSSL is de opensource implementatie van de SSL- en TLS-protocollen, die voor allerlei toepassingen worden gebruikt. Vanwege het belang van de software en het feit dat die op veel servers is geïnstalleerd reageerde de security-gemeenschap geschrokken op de defacement. In een eerdere korte verklaring stelden de ontwikkelaars dat de broncode en aangeboden software op OpenSSL.org niet waren aangepast.
Exacte details zijn nog altijd niet bekendgemaakt, maar op 30 december verklaarden de ontwikkelaars van OpenSSL dat de aanval via de hypervisor van de hostingprovider had plaatsgevonden. Een hypervisor of Virtual Machine Monitor (VMM) is software voor het draaien en beheren van Virtual Machines. Veel hostingproviders gebruiken het om op één fysieke server meerdere Virtual Machines voor klanten aan te maken.
Onderzoek
VMware ontwikkelt software voor het maken en beheren van Virtual Machines. Vanwege de melding van OpenSSL dat de aanval op de hypervisor van de hostingprovider was gericht besloot het VMware Security Response Center een onderzoek in te stellen of het om de software van VMware ging en of er sprake van een beveiligingslek was.
"We hebben geen reden om aan te nemen dat de defacement van de OpenSSL-website het gevolg is van een beveiligingslek in VMware-producten en dat de defacement is veroorzaakt door een operationele beveiligingsfout", aldus een verklaring van VMware. Om wat voor operationele fout het gaat laat VMware niet weten, maar in de verklaring geeft het tips voor het gebruik van software om virtual machines mee te beheren, zoals het installeren van beveiligingsupdates.
"Our investigation found that the attack was made through insecure passwords at the hosting provider,
leading to control of the hypervisor management console, which then was used to manipulate our virtual server."
En VMware suggereert in zijn verklaring dat de betreffende management console vCenter Server is:
"In the event that Virtual Center is directly Internet facing VMware recommends customers remain current with patches and updates and that they follow the best practices in the vSphere Security Hardening guides"
Welke ISP gaat zijn vCenter Server nou aan het Internet hangen?!?
Veel. De meeste providers hebben geen eigen DC en dus ook geen LAN beheernetwerk.
Veel. De meeste providers hebben geen eigen DC en dus ook geen LAN beheernetwerk.
Een ISP die nog nooit gehoord heeft van een apart netwerk voor beheer daar zou ik snel wegwezen!
Het minimum wat je kunt doen is toch wel een VPN maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.