En kritisk sårbarhed, der er over to år gammel, bliver ved med at skabe problemer.
Sårbarheden i VMware ESXi hypervisoren bliver nemlig udnyttet til at installere ransomware.
Center for Cybersikkerhed er nu ude og advare mod denne sårbarhed.
Ifølge centret kan sårbarheden udnyttes gennem en såkaldt SLP (Service Location Protocol) til at få afviklet arbitrær programkode på et sårbart system.
Den franske CERT (CERT-FR), som ligeledes har advaret mod sårbarheden, mener, at der er tale om en sårbarhed, som VMware udsendte et varsel om og en opdatering til i februar 2021.
Derved er der også tilgængelige opdateringer, der lukker sikkerhedshullet. Denne opdatering er den bedste måde at imødekomme problemet på, lyder det
Hvis man ikke har mulighed for at opdatere systemet, så er der stadig hjælp at hente, skriver CFCS.
Her kan en midlertidig modforanstaltning være at slå SLP fra på de sårbare servere, lyder det.
VMware har en teknisk vejledning om at slå SLP fra i selskabets vidensbank, der kan ses her.
"Derudover bør sårbare systemer ikke været eksponeret mod internettet og i videst muligt omfang holdes adskilt fra det øvrige netværk," skriver centret.
VMware vurderede i 2021 sårbarheden til at være kritisk med en CVSS på 9.8.
Sårbarheden findes i ESXi version 7, 6.7 og 6.5. Se VMwares varsel (VMSA-2021-0002) for de specifikke sårbare versioner, lyder det.
CFCS henviser til, at VMware selv har oplyst 16. februar, at selskabet ikke endnu ikke har fastlagt præcis hvilken sårbarhed, der bliver udnyttet.
"Ifølge VMware er det sandsynligt, at aktøren bag den ransomware, som bliver omtalt som "ESXiArgs", forsøger at udnytte flere ældre sårbarheder. Der er ifølge VMware ingen tegn på, at der skulle være tale om en ukendt sårbarhed."
