VMware adviseert gebruikers met VMware ESXi-servers zo snel mogelijk updates uit te voeren om de recente ESXiArgs-ransomware tegen te gaan en de OpenSLP-dienst uit te zetten. Daarnaast wordt bevestigd dat de aanval geen zero-day-kwetsbaarheid betreft.
VMware laat in een reactie weten dat de aanval geen zero-day kwetsbaarheid betreft. In de verklaring geeft VMare aan dat het gaat om zogenoemde End of General Support (EOGS)- en of verouderde producten met al geadresseerde kwetsbaarheden.
Meer concreet gaat het, zo ontdekten onderzoekers al, in het bijzonder om de VMware ESXi-versies 7.x voor build ESXi70U1c-17325551, ESXi-versies 6.7.x voor build ESXi670-202102401-SG en de ESXi-versies 6.5.x voor build ESXi650-202102101-SG. Vooral de ESXi-hypervisor-versies 6.x tot 6.7 zijn het doelwit.
Advies voor upgraden en uitzetten OpenSPL
Volgens de virtualisatie- en cloudspecialist zijn voor de kwetsbaarheden van deze specifieke versies al langere tijd patches en zogenoemde VMware Security Advisories (VMSA’s) beschikbaar. VMware roept daarom met klem op zo snel mogelijk te updaten naar de laatste versies van VMware ESXi en/of VMware vSphere-onderdelen.
Daarnaast wordt opgeroepen de dienst OpenSPL uit te zetten. De VMware ESXi-versies ESXi 7.0 U2c en ESXi 8.0 GA die in 2021 werden uitgebracht, hebben deze dienst al default uitgeschakeld.
Wereldwijde ransomware-aanval
Gisteren werd bekend dat sinds 3 februari wereldwijd, vooral in Europa, de VS en Canada, duizenden VMware ESXi-servers zijn aangevallen door de nieuwe ransomwarevariant ESXiArgs. De ransomware krijgt toegang tot servers met de verouderde en niet-gepatchte software via een zogenoemde ‘heap overflow’ in standaard aanstaande Open SLP-dienst. Zeer opmerkelijk bij de aanval dat onder meer het zogenoemde Sosemanuk-algoritme werd gebruikt.
Tip: Wereldwijde ransomware-aanval op duizenden VMware ESXi-servers
16 uur geleden
