VMware bevestigt: backdoor binnengekomen

VMware verklaart dat het enkele gevallen van de gecompromitteerde Orion-beheersoftware heeft gevonden in zijn interne IT-omgeving. "Ons eigen interne onderzoek heeft geen enkel teken van misbruik onthuld", stelt het bedrijf in zijn verklaring. Daarin noemt het ook een kwetsbaarheid in zijn virtualisatiesoftware die eind vorige maand is geopenbaard en waarvoor patches beschikbaar zijn.

Onbeperkte rechten

Het gaat om de mogelijkheid om opdrachten te kunnen injecteren in besturingssystemen waar virtuele machines bovenop draaien. Die opdrachten zijn dan met onbeperkte rechten uit te voeren. Aanvallers hebben hiervoor wel al netwerktoegang tot de webgebaseerde beheerconfigurator nodig én een valide wachtwoord voor het beheeraccount van die tool.

De Amerikaanse inlichtingendienst NSA heeft echter begin deze maand al gewaarschuwd dat Russische hackers gebruik maken van deze kwetsbaarheid (CVE 2020-4006). De aanvallers gebruiken daarbij inloggegevens die ze langs andere weg hebben buitgemaakt. De NSA heeft VMware hierover ingelicht, meldde de leverancier toen het begin deze maand patches uitbracht.

Flink digitaal arsenaal

Terwijl speculatie rondgaat dat deze kwetsbaarheid meespeelde in de grote SolarWinds-hack, stelt VMware nu dat het "geen melding heeft ontvangen dat CVE 2020-4006 is gebruikt in combinatie met de SolarWinds supply chain compromise". Dit betekent dus niet dat deze aanvalsmethode volledig is uitgesloten. Uit wat tot op heden bekend is over de grote hackcampagne tegen Amerikaanse overheidsinstanties en bedrijven is al wel duidelijk dat de aanvallers een flink digitaal arsenaal hebben.