'Gevolgen van wereldwijde aanval met gijzelsoftware hadden beperkt kunnen worden'

Dit is een expertquote van Ad Buckens, Vice-President, Consulting Expert Cybersecurity bij CGI.

U kunt dit bericht, of delen hiervan gebruiken op uw kanalen, met vermelding van de naam van de expert en organisatie. Aanleiding: Grootschalige aanval met gijzelsoftware op duizenden servers wereldwijd

Wereldwijd zijn duizenden computerservers getroffen door een aanval met gijzelsoftware, meldt de Italiaanse cyberveiligheidsorganisatie ACN. De gijzelsoftware valt een ruim twee jaar oude kwetsbaarheid aan in software van het bedrijf VMware.

Al in 2021 maakte Nationaal Cyber Security Centrum (NCSC) melding van misbruik van een kwetsbaarheid in EXSi en vCentre van VMWare. Hoewel het NCSC aangeeft dat het een goed gebruik is toegang tot EXSi en vCentre alleen te ontsluiten in een netwerk waar alleen beheerders toegang toe hebben, is dit nog niet in alle organisaties het geval. Wanneer deze scheiding er niet is, kan een kwaadwillende zonder interactie met een gebruiker code uitvoeren op de kwetsbare omgeving. Ransomware is daar momenteel een van de meest gebruikte voorbeelden van.

Wat opvalt is dat op 1 maart 2021 door NCSC al melding werd gemaakt van actief misbruik, maar dat patchmanagementprocessen (die helpen de kwetsbaarheid op te lossen) deze problemen niet hebben kunnen voorkomen. Organisaties hebben hier wellicht de inschatting gemaakt dat hun EXSi-omgeving niet direct vanaf het internet toegankelijk was en patching minder prioriteit kon krijgen. Ransomwaregroepen als Royal Ransomware laten nu zien toegang op alternatieve wijze te krijgen, en vervolgens kwetsbaarheden te misbruiken in het interne netwerk. Op het gebied van patching is het advies om aan te nemen dat een kwaadwillende al toegang heeft tot het lokale netwerk.