Über die Fachpresse sind wir darauf aufmerksam geworden, dass REvil Ransomware sich jüngst u.a. auf VMware ESXi Server spezialisiert hat, sodass ganze VMs verschlüsselt werden. https://www.heise.de/news/Verschluesselungstrojaner-REvil-hat-es-nun-auf-virtuelle-Maschinen-abgesehen-6122156.html Derzeit ist der Port tcp902 in das Haupt-Management-Netz (VM-Kernelnetz) der VMware ESXi Server (Hypervisor) freigeschaltet. Diese ermöglicht den Remote-Konsolen Zugriff auf VMs für Kunden über die sogenannte VMware VMRC, welche auch das entfernte Einbinden von Installations-Medien ermöglicht. Für den Remote-Konsolen Zugriff für Kunden steht ansonsten neben der Nutzung der VMRC die VMware Web-Konsole als eingebettete HTML5 Anwendung zur Verfügung. ABER: Diese ermöglicht keine Einbindung von entfernten Installations-Medien (ISO-Images). Die VMRC wird daher vor allem bei der Erstinstallation einer VM benutzt, um ISO-Dateien vom gewünschten Betriebssystem remote einzubinden. Es wird von VMware empfohlen, dass im VM-Kernelnetz keine Ports nach außen offen sind, um einer möglichen Ransomware keine Angriffsmöglichkeit zu bieten. Daher haben wir uns dazu entschieden den Port tcp902 und damit die VMRC umgehend zu sperren und als Alternative einen Datastore bereitzustellen, welcher aktuelle Windows Server und Linux Installationsdateien gespeichert hat. Remote Zugriff auf VMs ist weiterhin über die o.g. Webkonsole möglich. Es steht ein Datastore bereit auf den gängige Installationsmedien durch IT Center gepflegt werden. Sollte die gewünschte Version dort nicht verfügbar sein prüfen wir gerne ob diese Bereitgestellt werden kann. Anfragen dazu sollen wie immer über ServiceDesk erfolgen. Zugriff auf den Datastore: https://help.itc.rwth-aachen.de/service/1hv89j852yfjl/article/bcb44df76d1d4a3bbbf7fe28b2929259/ **english** It has come to our attention via the trade press that REvil ransomware has recently specialized in VMware ESXi servers, among others, so that entire VMs are encrypted. https://www.heise.de/news/Verschluesselungstrojaner-REvil-hat-es-nun-auf-virtuelle-Maschinen-abgesehen-6122156.html Currently, port tcp902 is exposed to the main management network (VM core network) of VMware ESXi servers (hypervisors). This enables remote console access to VMs for customers via the so-called VMware VMRC, which also enables remote mounting of installation media. For remote console access for customers, the VMware Web Console is available as an embedded HTML5 application in addition to the VMRC. BUT: This does not allow the integration of remote installation media (ISO images). The VMRC is therefore primarily used during the initial installation of a VM to remotely mount ISO files from the desired operating system. It is recommended by VMware that no ports are open to the outside in the VM core network in order not to offer a possible ransomware an attack opportunity. Therefore, we decided to immediately block the port tcp902 and thus the VMRC and provide a datastore as an alternative, which stored current Windows Server and Linux installation files. Remote access to VMs is still possible via the above mentioned web console. During the transition period when the datastore is not yet ready, we will manually mount the ISO files for customers upon request. Requests for this should be made via ServiceDesk as always.
Beendet