Virtualisointiohjelmistoja tekevä VMware ja Googlen omistama tietoturvayhtiö Mandiat varoittavat, että useamman asiakkaan VMwaren ohjelmistoihin on asennettu takaportti, mikä mahdollistaa koneella pyörivien virtuaalikoneiden murtamisen.

Yhtiöiden mukaan taustalla on erittäin kehittynyt hakkeriryhmä. Aukkoa voidaan käyttää esimerkiksi tietojen keräämiseen tai komentojen ajamiseen virtuaalikoneilla.

Virtualisoinnin ansiosta yhdellä palvelimella voidaan ajaa useampaa virtuaalikonetta. Nyt löydetty turva-aukko mahdollistaa virtuaalikoneiden tietoturva-asetusten ohittamisen, koska takaportti ottaa haltuun koko virtualisointia pyörittävän ohjelmiston.

Mandiantin tietoturvakonsultti Alex Marvin mukaan mahdollista hyökkäystä on vaikea havaita, koska se tapahtuu täysin virtuaalikoneen käyttöjärjestelmän ulkopuolella.

Mandiant löysi turva-aukon aikaisemmin tänän vuonna ja yhtiö onb työskennellyt yhdessä VMwaren kanssa asian selvittämiseksi.

Tällä hetkellä takaportti on löytynyt alle kymmenen VMwaren asiakkaan koneilta Pohjois-Amerikassa ja Aasiassa. Mandiantin mukaan voi olla, että hakkerit ovat kiinalaisia. Tieto on hyvin epävarma.

Vaikka tällä hetkellä todettuja murtoja on vähän, idea voi inspiroida muita hyökkääjiä jatkossa. Takaportin asentamisessa ei ole hyödynnetty mitään todennettua ja paikattavaa turva-aukkoa, vaan siinä on käytetty järjestelmävalvojatason tunnuksia.

VMware kertoi Wiredille, että vaikka kyseessä ei ole VMWaren ohjelmiston turva-aukko, yhtiö suosittelee asiakkailleen toiminnallisen turvallisuuden parantamista. VMware muistuttaa myös oppaastaan, jonka avulla VMwaren asetuksia voi tiukentaa suojaamaan tämänkaltaisia hyökkäyksiä vastaan.