Gevolgen van wereldwijde aanval met gijzelsoftware hadden beperkt kunnen worden

Wereldwijd zijn duizenden computerservers getroffen door een aanval met gijzelsoftware, meldt de Italiaanse cyberveiligheidsorganisatie ACN. De gijzelsoftware valt een ruim twee jaar oude kwetsbaarheid aan in software van het bedrijf VMware. De gevolgen van deze aanval beperkt kunnen worden volgens Ad Buckens, vice-president en consulting expert cybersecurity bij CGI.

Kwetsbaarheid in EXSi al jaren bekend

Al in 2021 maakte Nationaal Cyber Security Centrum (NCSC) melding van misbruik van een kwetsbaarheid in EXSi en vCentre van VMWare. Hoewel het NCSC aangeeft dat het een goed gebruik is toegang tot EXSi en vCentre alleen te ontsluiten in een netwerk waar alleen beheerders toegang toe hebben, is dit nog niet in alle organisaties het geval. Wanneer deze scheiding er niet is, kan een kwaadwillende zonder interactie met een gebruiker code uitvoeren op de kwetsbare omgeving. Ransomware is daar momenteel een van de meest gebruikte voorbeelden van.

Patches losten problemen niet op

Wat opvalt is dat op 1 maart 2021 door NCSC al melding werd gemaakt van actief misbruik, maar dat patchmanagementprocessen (die helpen de kwetsbaarheid op te lossen) deze problemen niet hebben kunnen voorkomen. Organisaties hebben hier mogelijk de inschatting gemaakt dat hun EXSi-omgeving niet direct vanaf het internet toegankelijk was en patching minder prioriteit kon krijgen.

Op alternatieve wijze toegang

Ransomwaregroepen als Royal Ransomware laten nu zien toegang op alternatieve wijze te krijgen, en vervolgens kwetsbaarheden te misbruiken in het interne netwerk. “Op het gebied van patching is het advies om aan te nemen dat een kwaadwillende al toegang heeft tot het lokale netwerk.”, aldus Buckens.