Varsel om udnyttelse af ældre sårbarhed i VMware ESXi

Den franske CERT (CERT-FR) advarer om, at en to år gammel kritisk sårbarhed i VMware ESXi bliver forsøgt udnyttet til at installere ransomware.

Sårbarheden kan udnyttes gennem SLP (Service Location Protocol) til at få afviklet arbitrær programkode på det sårbare system.

VMware har den 16. februar 2023 oplyst, at det endnu ikke er fastlagt, præcis hvilken sårbarhed der bliver udnyttet. Ifølge VMware er det sandsynligt, at aktøren bag den ransomware, som bliver omtalt som "ESXiArgs", forsøger at udnytte flere ældre sårbarheder. Der er ifølge VMware ingen tegn på, at der skulle være tale om en ukendt sårbarhed.

Der er ifølge CERT-FR tale om en sårbarhed, som VMware udsendte et varsel om og en opdatering til i februar 2021. Der er således opdateringer tilgængelige, som lukker sikkerhedshullet.

Da sårbarheden sandsynligvis har været kendt i to år, og der er en opdatering tilgængelig, er den bedste løsning at opdatere systemet.

Hvis man ikke har mulighed for at opdatere systemet, kan en midlertidig modforanstaltning være at slå SLP fra på den sårbare servere. VMware har en teknisk vejledning om at slå SLP fra i selskabets vidensbank:

How to Disable/Enable the SLP Service on VMware ESXi (76372)

Derudover bør sårbare systemer ikke været eksponeret mod internettet og i videst muligt omfang holdes adskilt fra det øvrige netværk.

VMware vurderede i 2021 sårbarheden til at være kritisk med en CVSS på 9.8. Sårbarheden findes i ESXi version 7, 6.7 og 6.5. Se VMwares varsel (VMSA-2021-0002) for de specifikke sårbare versioner.

Yderligere information:

VMWare: ESXiArgs: Questions & Answers

CERT-FR: Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi

ACN CSIRT: Rilevato lo sfruttamento massivo della CVE-2021–21974 in VMWare ESXi

VMware Security Advisory VMSA-2021-0002

How to Disable/Enable the SLP Service on VMware ESXi (76372)