Af Eskil Sørensen, 02/02/21
Angiveligt er der tale om ransomwareangreb, der første gang blev set i oktober sidste år, og som er udført af en kriminel gruppe, der har implementeret RansomExx ransomware. Det skriver ZDNet.
Ifølge ZDNets kilder tyder det på, at angriberne har brugt to sårbarheder i VMware ESXi, som er en hypervisor-løsning, der giver flere virtuelle maskiner mulighed for at dele den samme harddisklager. Sårbarhederne har numrene CVE-2019-5544 og CVE-2020-3992
Begge fejl påvirker Service Location Protocol (SLP), en protokol, der bruges af enheder på det samme netværk til at opdage hinanden.
Ondsindede SLP-anmodninger
Sårbarhederne gør det muligt for en angriber på det samme netværk at sende ondsindede SLP-anmodninger til en ESXi-enhed og tage kontrol over den, selvom angriberen ikke har formået at kompromittere VMWare vCenter-serveren, som ESXi-forekomsterne normalt rapporterer til.
I angreb, der har fundet sted sidste år, er RansomExx-banden blevet set få adgang til en enhed på et virksomhedsnetværk og misbruge dette indledende indgangspunkt til at angribe lokale ESXi-forekomster og kryptere deres virtuelle harddiske.
Indtil videre er kun gruppen bag RansomExx, der er blevet set misbruge dette trick, men det fremgår af ZDNet, at gruppen bag Babuk Locker-ransomware også skulle have annonceret, at de råder over en lignende funktion. Dette er dog ikke blevet bekræftet endnu i form af egentlige, kendte angreb.
Implementer ESXi-patches
Systemadministratorer hos virksomheder, der er afhængige af VMWare ESXi til at styre de virtuelle maskiners lagerplads, rådes til enten at implementere de nødvendige ESXi-patches eller deaktivere SLP-support. Dette for at forhindre angreb, hvis protokollen ikke er nødvendig.