En sårbarhet i VMware-servere over hele verden utnyttes nå av ondsinnede aktører til å utføre angrep med utpressingsvirus, melder blant andre nettstedet Techcrunch.
Digi.no fortalte om den aktuelle sårbarheten (krever abonnement) allerede for ganske nøyaktig to år siden, men mange Vmware-servere mangler patchen som selskapet slapp og er altså fremdeles sårbare.
Rammer tusenvis av servere
Serverne det dreier seg om, er de såkalte VMware ESXi-serverne, som brukes til å kjøre virtuelle datamaskiner. Utpressingsprogramvaren som retter seg mot serverne, bærer navnet ESXiArgs og skal ha vært aktiv siden begynnelsen av inneværende måned.
Mer enn 3200 servere globalt skal være rammet av ESXiArgs-kampanjen. Det er uvisst akkurat hvem som står bak utpressingsviruset.
Det statlige franske byrået for håndtering av cybertrusler, CERT-FR, la for noen dager siden ut en oppdatering om saken på sine hjemmesider.
– Den 3. februar 2023 ble CERT-FR klar over en angrepskampanje mot VMware ESXi hypervisorer med det formål å iverksette utpressingsvirus mot dem. Så langt viser etterforskningen at disse kampanjene tilsynelatende har utnyttet eksponeringen av ESXi hypervisorer som ikke har blitt oppdatert med sikkerhetspatcher raskt nok, skriver byrået.
Hypervisorer, også kalt virtuelle maskinmonitorer (VMM), er dataprogramvare, fastvare eller maskinvare som oppretter og styrer virtuelle maskiner.
Kritisk
Også det italienske byrået National Cybersecurity Agency (ACN) uttalte i helgen at flere tusen VMware-servere er under angrep fra utpressingsvirus, ifølge nyhetsbyrået Reuters.
Det amerikanske byrået CISA (Cybersecurity and Infrastructure Security Agency) bekreftet overfor Techcrunch at de aktivt etterforsker ESXiArgs-kampanjen. Byrået jobber med en rekke aktører for å få oversikt over skadeomfanget og bidrar med assistanse til ofre.
Det er hovedsakelig to sårbarheter, med sporingskodene CVE-2020-3992 og CVE-2021-21974, saken dreier seg om. Førstnevnte har en CVSSv3-alvorlighetsgrad på 9,8, som innebærer at sikkerhetshullet er kritisk og kan utnyttes gjennom fjernkjøring av kode.
CVE-2021-21974 har på sin side en CVSSv3-alvorlighetsgrad på 8,8, som også er svært alvorlig. Også denne legger til rette for fjernkjøring av kode, ifølge den tekniske beskrivelsen. Det franske byrået CERT-FR skriver at kode som utnytter sårbarhetene (exploits), har vært tilgjengelig siden minst mai 2021.
En talsperson for VMware kommenterte overfor Techcrunch at selskapet er klar over rapportene om den pågående ESXiArgs-kampanjen – og at patchene som fikser sårbarhetene, ble sluppet 23. februar 2021. Talspersonen oppfordrer alle berørte til å installere patchene så snart som mulig.
