Ransomwarebendes profiteren van VMware (die antivirus niet nodig vindt)
De populariteit van VMware ESXi samen met de vaak slechte beveiliging daarvan zorgt ervoor dat die virtualisatie-oplossing populair is bij cybercriminelen. Volgens securitybedrijf CrowdStrike is ESXi een zeer aantrekkelijk doelwit voor moderne aanvallers, waaronder naast beruchte eCrime-groepen ook landen als Iran en Noord-Korea. Ransomwarebendes zetten Linux-versies van hun malware in die speciaal gericht zijn op VMware ESXi.
© VMware
VMware
CrowdStrike heeft het afgelopen jaar juist een afname gezien van aanvallers (threat actors) die traditionele ransomwaretechnieken toepassen. Die trend heeft een opvallende uitzondering: het ene, specifieke doelwit dat VMware-gebruikers vormen. ESXi is volgens CrowdStrike-onderzoekers kwetsbaar en aanvallers weten dat ook.
Geen besturingssysteem
De ESXi-software van VMware is een veelgebruikte hypervisor om virtuele machines (VM's) zo dicht mogelijk op de serverhardware te draaien. Er is bij zo'n 'bare metal'-opstelling geen onderliggend besturingssysteem aanwezig; de virtualisatielaag waar VM's op draaien, draait zelf direct op de hardware.
CrowdStrike merkt op dat ESXi geen antivirus en geen agentsofware van securitypakketten ondersteunt en dat dit 'by design' is. In een blogpost die vandaag wordt gepubliceerd, wijst het IT-beveiligingsbedrijf erop dat VMware zelfs claimt dat dergelijke securitysoftware niet vereist is. Software van derde partijen voor detectie van malware wordt dan ook niet aangeraden door de virtualisatieleverancier.
Geen externe securitysoftware
"Antivirus en malwaredetectie zijn nodig op computeromgevingen voor algemeen gebruik (General Purpose, GP)", schrijft VMware in supportdocumentatie. Voor GP-platformen is dit nodig om de risico's te beperken die gebruikers kunnen lopen wanneer een eindgebruiker of een softwareproces uitvoerbare code laadt van zogeheten 'onbepaalde bronnen'.
"Deze risico's zijn typerend voor GP computing environments", aldus VMware. ESX is echter géén GP-platform, benadrukt de leverancier. Het bestaat uit een aangepaste, beperkte Linux-omgeving die VMware zijn Console Opearing System (COS) noemt. Het nieuwere ESXi bevat echter ook dat COS niet. Deze hypervisor gebruikt een combinatie van on-host security en best practices, die VMware uiteenzet in zijn vSphere Security Hardening Guides.
Geen probleem voor aanvallers
Cybercriminelen laten zich daar niet door ontmoedigen. CrowdStrike meldt dat een aantal kwetsbaarheden in ESXi in de praktijk worden misbruikt door aanvallers. Het noemt daarbij concrete gevallen waarvoor onafhankelijke security-organen ook al hebben gewaarschuwd. Sommige van de daarbij misbruikte kwetsbaarheden stammen al uit 2020. Criminele aanbieders van Ransomware-as-a-Service (RaaS) spelen daar dankbaar en inventief op in, zo blijkt uit onderzoek van CrowdStrike maar ook van securitybedrijf Mandiant.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee