UTPRESSINGSVARE

Advarer: Tusenvis av VMware-servere angripes med utpressingsvirus via kritiske sårbarheter

Utnytter to år gammel sårbarhet.

Flere tusen sårbare Vmware-servere angripes nå med løsepengevirus, advares det.
Flere tusen sårbare Vmware-servere angripes nå med løsepengevirus, advares det. Illustrasjon: digi.no
7. feb. 2023 - 10:07

En sårbarhet i VMware-servere over hele verden utnyttes nå av ondsinnede aktører til å utføre angrep med utpressingsvirus, melder blant andre nettstedet Techcrunch.

Digi.no fortalte om den aktuelle sårbarheten (krever abonnement) allerede for ganske nøyaktig to år siden, men mange Vmware-servere mangler patchen som selskapet slapp og er altså fremdeles sårbare.

Rammer tusenvis av servere

Serverne det dreier seg om, er de såkalte VMware ESXi-serverne, som brukes til å kjøre virtuelle datamaskiner. Utpressingsprogramvaren som retter seg mot serverne, bærer navnet ESXiArgs og skal ha vært aktiv siden begynnelsen av inneværende måned.

Mer enn 3200 servere globalt skal være rammet av ESXiArgs-kampanjen. Det er uvisst akkurat hvem som står bak utpressingsviruset.

Det statlige franske byrået for håndtering av cybertrusler, CERT-FR, la for  noen dager siden ut en oppdatering om saken på sine hjemmesider.

– Den 3. februar 2023 ble CERT-FR klar over en angrepskampanje mot VMware ESXi hypervisorer med det formål å iverksette utpressingsvirus mot dem. Så langt viser etterforskningen at disse kampanjene tilsynelatende har utnyttet eksponeringen av ESXi hypervisorer som ikke har blitt oppdatert med sikkerhetspatcher raskt nok, skriver byrået.

Hypervisorer, også kalt virtuelle maskinmonitorer (VMM), er dataprogramvare, fastvare eller maskinvare som oppretter og styrer virtuelle maskiner.

Kritisk

Også det italienske byrået National Cybersecurity Agency (ACN) uttalte i helgen at flere tusen VMware-servere er under angrep fra utpressingsvirus, ifølge nyhetsbyrået Reuters.

Det amerikanske byrået CISA (Cybersecurity and Infrastructure Security Agency) bekreftet overfor Techcrunch at de aktivt etterforsker ESXiArgs-kampanjen. Byrået jobber med en rekke aktører for å få oversikt over skadeomfanget og bidrar med assistanse til ofre.

Det er hovedsakelig to sårbarheter, med sporingskodene CVE-2020-3992 og CVE-2021-21974, saken dreier seg om. Førstnevnte har en CVSSv3-alvorlighetsgrad på 9,8, som innebærer at sikkerhetshullet er kritisk og kan utnyttes gjennom fjernkjøring av kode.

CVE-2021-21974 har på sin side en CVSSv3-alvorlighetsgrad på 8,8, som også er svært alvorlig. Også denne legger til rette for fjernkjøring av kode, ifølge den tekniske beskrivelsen. Det franske byrået CERT-FR skriver at kode som utnytter sårbarhetene (exploits), har vært tilgjengelig siden minst mai 2021.

En talsperson for VMware kommenterte overfor Techcrunch at selskapet er klar over rapportene om den pågående ESXiArgs-kampanjen – og at patchene som fikser sårbarhetene, ble sluppet 23. februar 2021. Talspersonen oppfordrer alle berørte til å installere patchene så snart som mulig.

Vmware-servere er nå under angrep, sier sikkerhetsforskere.
Les også

Vmware-servere har kritisk sårbarhet – angripes av hackere akkurat nå

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra