CrowdStrike meldt dat ransomware-criminelen steeds vaker aanvallen uitvoeren op de ESXi-hypervisor van VMware. Veel systemen zijn vatbaar, met name door een gebrek aan security-tools.
De blog van CrowdStrike is het derde deel in de serie over ‘hypervisor jackpotting’. In februari vonden er duizenden aanvallen op ESXi-servers plaats binnen één weekend. ESXi wordt ook wel vSphere Hypervisor genoemd. De hypervisor onderscheidt zich van andere VM-managementdiensten doordat het direct op de hardware van de host draait.
Het gaat hier om een aanvalstactiek die gebruikmaakt van twee oude kwetsbaarheden van ESXi-software. Deze staan bekend als CVE-2020-3992 en CVE-2021-21974. Eerstgenoemde staat remote code execution toe, waarmee het inzetten van ransomware gefaciliteerd wordt. De tweede kwetsbaarheid was bij de aanvallen van februari voor het eerst geëxploiteerd om code uit te voeren op VMware ESXi-instances.
Groot probleem
CrowdStrike haalt advies aan van VMware, dat stelt dat antivirussoftware niet ondersteund wordt door de hypervisor-dienst. Door het uitblijven van ondersteuning kunnen ransomware-criminelen hun gang gaan.
De aanvallen zijn zo gevaarlijk omdat VM-diensten een cruciaal component zijn van veel IT-omgevingen. VMware is een grote speler als het gaat om het leveren van virtual machine-services. CrowdStrike ziet veel mogelijkheden voor cybercriminelen die virtuele infrastructuren aanvallen. Een enkele kwetsbaarheid kan zich namelijk verplaatsen en vermenigvuldigen in deze omgevingen.
De effecten lopen uiteen. De meest voor de hand liggende motivatie voor criminelen is allereerst om login-details te stelen. Daarna heeft men toegang tot privileges die afhankelijk zijn van het gekaapte account: in de ergste gevallen kan men programmeercode uitvoeren. Dit geldt zelfs voor de meest recente versies van ESXi-software.
Virtual machines kunnen toegankelijk worden voor aanvallers op verschillende manieren. Zo is het mogelijk om een slecht afgescheiden VM te benaderen, waarbij de ESXi-servers niet eens aangevallen hoeven te worden. Bij betere segmentatie ziet CrowdStrike nog genoeg problemen om via VM’s bij de hypervisor te komen, hoewel dat extra exploitaties benodigt. Met zogeheten ‘VM escape exploits’ kunnen aanvallers een stappenplan afgaan om zo gebruik te maken van de kwetsbaarheid van ESXi-software.
Met andere woorden, het is volgens het onderzoeksteam van CrowdStrike een groot probleem. Sterker nog: het neemt alleen maar toe.
Ransomware-as-a-Service
In het eerste kwartaal van 2023 hebben verschillende Ransomware-as-a-Service-diensten ESXi-aanvallen gefaciliteerd. Volgens CrowdStrike herkennen steeds meer cybercriminelen dat deze exploitatie een vruchtbare grond biedt voor hun praktijken. Zo levert het RaaS-programma MichaelKors binaries die het op Windows en ESXi/Linux-systemen gemunt hebben. Daarnaast verwijst CrowdStrike naar collega-onderzoekers bij Mandiant die een remote administration tool (RAT) misbruikt. In dit geval blijft de getroffen server kwetsbaar, zelfs als men de gepatchte variant van VMware te pakken heeft.
Tip: Ransomware-as-a-service: cybercriminelen zijn beter georganiseerd dan gedacht
Bescherming
CrowdStrike heeft een vijftal aanbevelingen voor systeembeheerders om een IT-omgeving te beschermen. Het bedrijf raadt het gebruik van directe toegang tot ESXi-hosts af. In plaats daarvan moeten organisaties de vSphere Client gebruiken om ESXi-hosts via een vCenter Server te managen. Als het wel nodig is om direct te verbinden met een ESXi-host, moet men gebruikmaken van een ‘hardened jump server’ met multi-factor authentication (MFA). Deze wijze van verbinding garandeert de security van IT-omgevingen door segmentatie.
Vervolgens stelt CrowdStrike dat organisaties vCenter niet moeten blootleggen aan het internet. Uiteindelijk is dat afgezien van patching de meest voor de hand liggende oplossing die bedrijven toepassen. Echter blijkt dit vaak niet genoeg te zijn, zoals we recent zagen toen we experts vroegen om de impact van de Log4Shell-exploitatie.
TIP: Log4Shell anno 2023: keiharde impact dreunt nog na
Een andere bekende oplossing is de inzet van back-ups. VM-disk images en snapshots moeten dagelijks bijgehouden worden. CrowdStrike noemt het niet expliciet, maar het is in dit geval zonder meer belangrijk dat dit al eens getest is voordat een aanval plaatsvindt. Wat het bedrijf wel noemt, is dat organisaties ervoor moeten zorgen dat hun eigen back-up niet wordt versleuteld.
Ten slotte stipt CrowdStrike het fysiek afsluiten van opslag van de ESXi-host aan als de criminelen de inlogdetails hebben gewijzigd. Mocht dat niet mogelijk zijn, dan bestaat er nog de oplossing die voor nagenoeg alle apparatuur mogelijk is: het stopzetten van de elektriciteitstoevoer.
40 minuten geleden
