Nieuws
image

Kwetsbaarheid in VMware ESXi gebruikt bij ransomware-aanval

donderdag 12 november 2020, 14:32 door Redactie, 12 reacties

Een kwetsbaarheid in VMware ESXi waarvoor op 4 november een beveiligingsupdate verscheen wordt actief bij ransomware-aanvallen misbruikt. Dat meldt de Britse beveiligingsonderzoeker Kevin Beaumont. Naast deze kwetsbaarheid, aangeduid als CVE-2020-3992, maken de aanvallers ook gebruik van een ander ESXi-lek (CVE-2019-5544) waarvoor vorig jaar een update verscheen.

Beaumont meldt in een tweet dat een groep ransomwarecriminelen de twee kwetsbaarheden gebruikt om de beveiliging van Windows te omzeilen, door virtual machines uit te schakelen en de virtual machine disk direct op de hypervisor te versleutelen. Securitybedrijf Rapid7 waarschuwt dat op deze manier virtuele datacentra volledig door ransomware op slot kunnen worden gezet.

Een hypervisor is software voor het maken en draaien van virtual machines. ESXi is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden.

De recent verholpen kwetsbaarheid in ESXi maakt het mogelijk voor een aanvaller die toegang tot poort 427 van een kwetsbare machine heeft om een een use-after-free te veroorzaken en zo op afstand willekeurige code op het systeem uit te voeren. VMware kwam op 20 oktober met een beveiligingsupdate voor deze kwetsbaarheid. De patch bleek echter niet volledig te zijn, waarop er op 4 november een tweede beveiligingsupdate verscheen.

Reacties (12)
12-11-2020, 16:18 door Anoniem
En weer kunnen systeembeheerders overuren maken.
12-11-2020, 16:56 door Anoniem
was extra veilig ivm 'sandboxing' in virtuele machines niet een van de speer punten?

ik weet een ding zeker, hoe meer laagjes, hoe meer bugs, hoe meer mogelijkheden. het is een onjuiste gedachten dat meerdere laagjes gelijk is aan meer beveiliging. dat laatsta kan alleen als de gaatjes in de verschillende laagjes 'orthogonaal' zijn en elkaar uitsluiten, en dat is alles behalve waar a priori.
12-11-2020, 21:24 door Anoniem
Door Anoniem: was extra veilig ivm 'sandboxing' in virtuele machines niet een van de speer punten?

ik weet een ding zeker, hoe meer laagjes, hoe meer bugs, hoe meer mogelijkheden. het is een onjuiste gedachten dat meerdere laagjes gelijk is aan meer beveiliging. dat laatsta kan alleen als de gaatjes in de verschillende laagjes 'orthogonaal' zijn en elkaar uitsluiten, en dat is alles behalve waar a priori.
Als het goed is biedt het onderste laagje een service aan het laagje er boven. Als die interface goed is geïmplementeerd is dat veel veiliger dan 1 spaghetti-laag zoals in bv windows, waar de grafische omgeving niet kan worden losgetild en waarbij de browser nog onlosmakelijke was verbonden met het OS volgens een beroemde rechtszaak.
ESi heeft ook een kleine footprint en zal daarom nooit zoals een ander OS elke maand kritieke problemen kennen.
Het is gefixt. Dus je VM's live migreren naar andere hypervisors en patchen die hap.
13-11-2020, 08:06 door Bitje-scheef
ESi heeft ook een kleine footprint en zal daarom nooit zoals een ander OS elke maand kritieke problemen kennen.

Weet je het zeker ?
13-11-2020, 15:44 door Anoniem
Door Anoniem: En weer kunnen systeembeheerders overuren maken.
Als je als een mongool poort 427 recht op het internet gezet hebt wel. Excuses voor de uitlating, ik vind het echter wel een belang voor systeem beheerders dat managers dit soort "incidenten" erkennen en systeem beheerders meer tijds marge/speling geven. Denk bijvoorbeeld aan een extra administrator die vooral dit soort dingen tackled en minder bezig is met de dagelijkse handelingen. Verder is het een beetje "het vakgebied". Bespreek het met je manager en als die zich gedraagt als een x dan moet je kiezen of je blijft, wisselt van baan/organisatie of vakgebied. Life is a game.
13-11-2020, 16:56 door Anoniem
Door Bitje-scheef:
ESi heeft ook een kleine footprint en zal daarom nooit zoals een ander OS elke maand kritieke problemen kennen.

Weet je het zeker ?
Ja 150MB https://www.vmware.com/products/esxi-and-esx.html
13-11-2020, 16:57 door Anoniem
Door Anoniem:
Door Anoniem: En weer kunnen systeembeheerders overuren maken.
Als je als een mongool poort 427 recht op het internet gezet hebt wel. Excuses voor de uitlating, ik vind het echter wel een belang voor systeem beheerders dat managers dit soort "incidenten" erkennen en systeem beheerders meer tijds marge/speling geven. Denk bijvoorbeeld aan een extra administrator die vooral dit soort dingen tackled en minder bezig is met de dagelijkse handelingen. Verder is het een beetje "het vakgebied". Bespreek het met je manager en als die zich gedraagt als een x dan moet je kiezen of je blijft, wisselt van baan/organisatie of vakgebied. Life is a game.

Een besmette pc in het inside netwerk overnemen en dan toeslaan is ook een optie. Dus patchen is zeker aan te raden, ook als je niet poort 427 op het internet open hebt staan. Overigens zou je er intern ook niet naar toe moeten kunnen...maar vaak staat daar alles open helaas.
14-11-2020, 11:47 door Anoniem
Door Anoniem:
Door Anoniem: was extra veilig ivm 'sandboxing' in virtuele machines niet een van de speer punten?

ik weet een ding zeker, hoe meer laagjes, hoe meer bugs, hoe meer mogelijkheden. het is een onjuiste gedachten dat meerdere laagjes gelijk is aan meer beveiliging. dat laatsta kan alleen als de gaatjes in de verschillende laagjes 'orthogonaal' zijn en elkaar uitsluiten, en dat is alles behalve waar a priori.
Als het goed is biedt het onderste laagje een service aan het laagje er boven. Als die interface goed is geïmplementeerd is dat veel veiliger dan 1 spaghetti-laag zoals in bv windows, waar de grafische omgeving niet kan worden losgetild en waarbij de browser nog onlosmakelijke was verbonden met het OS volgens een beroemde rechtszaak.
ESi heeft ook een kleine footprint en zal daarom nooit zoals een ander OS elke maand kritieke problemen kennen.
Het is gefixt. Dus je VM's live migreren naar andere hypervisors en patchen die hap.

read again: "het is een onjuiste gedachten dat meerdere laagjes gelijk is aan meer beveiliging."
15-11-2020, 23:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: was extra veilig ivm 'sandboxing' in virtuele machines niet een van de speer punten?

ik weet een ding zeker, hoe meer laagjes, hoe meer bugs, hoe meer mogelijkheden. het is een onjuiste gedachten dat meerdere laagjes gelijk is aan meer beveiliging. dat laatsta kan alleen als de gaatjes in de verschillende laagjes 'orthogonaal' zijn en elkaar uitsluiten, en dat is alles behalve waar a priori.
Als het goed is biedt het onderste laagje een service aan het laagje er boven. Als die interface goed is geïmplementeerd is dat veel veiliger dan 1 spaghetti-laag zoals in bv windows, waar de grafische omgeving niet kan worden losgetild en waarbij de browser nog onlosmakelijke was verbonden met het OS volgens een beroemde rechtszaak.
ESi heeft ook een kleine footprint en zal daarom nooit zoals een ander OS elke maand kritieke problemen kennen.
Het is gefixt. Dus je VM's live migreren naar andere hypervisors en patchen die hap.

read again: "het is een onjuiste gedachten dat meerdere laagjes gelijk is aan meer beveiliging."
1 laagje is meer spaghetti en dus meer kans op fouten en dus onveiliger.
16-11-2020, 08:24 door Anoniem
"Managers", de laag die meestal onvoldoende vakkennis heeft en stuurt op geld, krijgen meer salaris dan de beheerders, die de tijd niet meer krijgen om kwaliteit te leveren. Waarom verbazen we ons dan toch over deze berichten?
16-11-2020, 14:52 door Anoniem
Door Anoniem: "Managers", de laag die meestal onvoldoende vakkennis heeft en stuurt op geld, krijgen meer salaris dan de beheerders, die de tijd niet meer krijgen om kwaliteit te leveren. Waarom verbazen we ons dan toch over deze berichten?
Dat is alleen in Nederland zo? In Amerika zeker niet.
18-11-2020, 08:25 door Anoniem
Door Anoniem: was extra veilig ivm 'sandboxing' in virtuele machines niet een van de speer punten?

ik weet een ding zeker, hoe meer laagjes, hoe meer bugs, hoe meer mogelijkheden. het is een onjuiste gedachten dat meerdere laagjes gelijk is aan meer beveiliging. dat laatsta kan alleen als de gaatjes in de verschillende laagjes 'orthogonaal' zijn en elkaar uitsluiten, en dat is alles behalve waar a priori.

Jij weet duidelijk niet waarover je het hebt. Alle laagjes, zoals je die noemt, staan niet naast elkaar maar boven of achter elkaar. Dit betekent dat je eerst een gat in laag 1 moet vinden. Als je erdoor bent, dan zoek je een gat in laag 2, daarna in laag 3,... Met andere woorden gaat de hacker/bot succesvol door alle lagen moeten geraken om iets kwaadaardigs te kunnen doen. Je maakt het hem dus lastiger en duurder des te meer lagen je hebt. Je kan dit vergelijken met meerdere deuren achter elkaar, je moet ze allemaal open krijgen alvorens je binnen bent.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search