Het probleem is het grootst wanneer men geen rechtenprofielen aanmaakt voor specifieke functies. IT-personeel met root toegang tot VMware ESX kan Virtuele Machine bestanden stelen, waarna ze simpelweg de log-bestanden weg kunnen gooien via de service console, om zo het bewijs te vernietigen. De service console is een op Linux geënte console waarmee de VMware hypervisor beheerd wordt. Hiermee is het beveiligingsbedrijf BeyondTrust naar buiten gekomen.

Op deze manier zouden volgens het bedrijf makkelijk medische gegevens, financiële data of andere belangrijke data gestolen kunnen worden. Jordan Bean, systeem ingenieur bij BeyondTrust, demonstreerde dit op de VMworld conferentie.

Admin rechten kunnen altijd worden misbruikt

VMware reageerde direct, door te zeggen dat elke software waarbij men admin rechten heeft, makkelijk misbruikt kan worden door IT-personeel, aangezien zij veelal root rechten hebben. Verder zegt het bedrijf in hun reactie dat ze misschien geen access controls hebben voor de service console, maar dat ze wel best practises aanbieden over hoe men rechten kan toewijzen op basis van bepaalde functies, waardoor access controls ingeschakeld kunnen worden, onder andere in samenwerking met BeyondTrust.

ESXi is oké

VMware heeft wel al aangegeven dat ze de service console in de toekomst achterwege willen laten in hun software. In de laatste paar versies van vSphere, heeft het bedrijf zowel de ESX als ESXi architecturen naast elkaar laten bestaan. Maar in de volgende release (datum onbekend), zal alleen ESXi voort blijven bestaan. Deze heeft geen service console.

Volgens Venu Aravamudan, hoofd product marketing VMware, is het aangekaarte probleem geen lek. “Als je het root wachtwoord van iets hebt, kan het natuurlijk moeilijk een kwetsbaarheid worden genoemd. Net als een router of SQL-server kun je doen wat je wilt als je de juiste rechten hebt. Je kunt dat met geen enkel product voorkomen dat vandaag de dag op de markt rondwaart."

Geen praktijkgevallen

Het is echter wel een stuk lastiger om dit door BeyondTrust aangekaarte probleem uit te voeren met ESXi, dan met ESX. Wanneer je met dezelfde logingegevens inlogt als waarmee je de virtuele host aanmaakt, kun je volledig onzichtbaar opereren onder de lagen van VMware’s beveiliging door, volgens Bean. Het simpelweg verwijderen van de log-bestanden zorgt er vervolgens voor dat niemand het ooit te weten komt.

Er zijn volgens Bean geen gevallen bekend uit de praktijk waarbij data op deze manier gestolen is, maar hij zegt zeker te weten dat dit gebeurt. Het is echter immers niet na te trekken, dus snel bekend worden zal het dan ook niet.