Overslaan en naar de inhoud gaan

Ransomwarebendes profiteren van VMware (die antivirus niet nodig vindt)

De populariteit van VMware ESXi samen met de vaak slechte beveiliging daarvan zorgt ervoor dat die virtualisatie-oplossing populair is bij cybercriminelen. Volgens securitybedrijf CrowdStrike is ESXi een zeer aantrekkelijk doelwit voor moderne aanvallers, waaronder naast beruchte eCrime-groepen ook landen als Iran en Noord-Korea. Ransomwarebendes zetten Linux-versies van hun malware in die speciaal gericht zijn op VMware ESXi.
virtualisatie, hypervisor
© VMware
VMware

CrowdStrike heeft het afgelopen jaar juist een afname gezien van aanvallers (threat actors) die traditionele ransomwaretechnieken toepassen. Die trend heeft een opvallende uitzondering: het ene, specifieke doelwit dat VMware-gebruikers vormen. ESXi is volgens CrowdStrike-onderzoekers kwetsbaar en aanvallers weten dat ook.

Geen besturingssysteem

De ESXi-software van VMware is een veelgebruikte hypervisor om virtuele machines (VM's) zo dicht mogelijk op de serverhardware te draaien. Er is bij zo'n 'bare metal'-opstelling geen onderliggend besturingssysteem aanwezig; de virtualisatielaag waar VM's op draaien, draait zelf direct op de hardware.

CrowdStrike merkt op dat ESXi geen antivirus en geen agentsofware van securitypakketten ondersteunt en dat dit 'by design' is. In een blogpost die vandaag wordt gepubliceerd, wijst het IT-beveiligingsbedrijf erop dat VMware zelfs claimt dat dergelijke securitysoftware niet vereist is. Software van derde partijen voor detectie van malware wordt dan ook niet aangeraden door de virtualisatieleverancier.

Geen externe securitysoftware

"Antivirus en malwaredetectie zijn nodig op computeromgevingen voor algemeen gebruik (General Purpose, GP)", schrijft VMware in supportdocumentatie. Voor GP-platformen is dit nodig om de risico's te beperken die gebruikers kunnen lopen wanneer een eindgebruiker of een softwareproces uitvoerbare code laadt van zogeheten 'onbepaalde bronnen'.

"Deze risico's zijn typerend voor GP computing environments", aldus VMware. ESX is echter géén GP-platform, benadrukt de leverancier. Het bestaat uit een aangepaste, beperkte Linux-omgeving die VMware zijn Console Opearing System (COS) noemt. Het nieuwere ESXi bevat echter ook dat COS niet. Deze hypervisor gebruikt een combinatie van on-host security en best practices, die VMware uiteenzet in zijn vSphere Security Hardening Guides.

Geen probleem voor aanvallers

Cybercriminelen laten zich daar niet door ontmoedigen. CrowdStrike meldt dat een aantal kwetsbaarheden in ESXi in de praktijk worden misbruikt door aanvallers. Het noemt daarbij concrete gevallen waarvoor onafhankelijke security-organen ook al hebben gewaarschuwd. Sommige van de daarbij misbruikte kwetsbaarheden stammen al uit 2020. Criminele aanbieders van Ransomware-as-a-Service (RaaS) spelen daar dankbaar en inventief op in, zo blijkt uit onderzoek van CrowdStrike maar ook van securitybedrijf Mandiant.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in