Massen-Scan auf angreifbare VMware vCenter-Instanzen

[English]Falls ihr VMware vCenter-Instanzen administriert, schaut dass diese auf dem aktuellen Patchstand sind. Aktuell scheinen Hacker das Internet nach ungepatchten VMware vCenter-Instanzen zu scannen. Das Ziel: Diese vCenter-Instanzen für eigene Zwecke übernehmen – es drohen also unangenehme Überraschungen.


Anzeige

Kritische Schwachstellen im vSphere

Ich hatte vor einigen Tagen im Blog-Beitrag VMware fixt kritische RCE-Schwachstellen im vSphere HTML5 Client auf den Sachverhalt hingewiesen. VMware warnt seine Nutzer vor kritischen RCE-Schwachstellen im vSphere HTML5 Client und weiteren Produkten. Im Sicherheitshinweis VMSA-2021-000 sind die Schwachstellen CVE-2021-21972, CVE-2021-21973, CVE-2021-21974 in folgenden Produkten aufgeführt:

  • VMware ESXi
  • VMware vCenter Server (vCenter Server)
  • VMware Cloud Foundation (Cloud Foundation)

Diese Schwachstellen werden teilweise mit einem Schweregrad von 9,8 (bis einer Skala bis 10) aufgeführt. Für die betroffenen Produkt stehen inzwischen Sicherheitsupdates zur Verfügung.

Warnung vor einem Angriff

Momentan scheinen Tausende ungepatchte vSphere-Instanzen per Internet erreichbar zu sein. Arstechnica schreibt hier, dass bereits einen Tag nach der VMware Sicherheitswarnung ein Proof of Concept von verschiedenen Quellen verfügbar war.

Scanings of vulnerable VMware vCenter servers

Sicherheitsforscher von Bad Packets warnten in obigem Tweet bereits am 24. Februar 2021 und schrieben, dass sie Massenscans auf diese Instanzen beobachtet haben. Sicherheitsforscher Troy Mursch von Bad Packets sagt, dass die Suchmaschine BinaryEdge fast 15.000 aus dem Internet erreichbare vCenter-Server gefunden habe. Eine Shodan-Suche ergab etwa 6.700 Treffer. Der Massenscan zielt darauf ab, Server zu identifizieren, die den Patch, den VMware im Februar 2021 veröffentlicht hat, noch nicht installiert haben.

Die Sicherheitslücke CVE-2021-21972 ermöglicht es Hackern, auf verwundbare vCenter-Server, die über Port 443 öffentlich zugänglich sind, Dateien ohne Berechtigung hochzuladen. Das haben Sicherheitsforscher von Tenable herausgefunden. Die Schwachstelle resultiert aus einer fehlenden Authentifizierung im vRealize Operations Plugin, das standardmäßig installiert ist. Erfolgreiche Exploits führen dazu, dass Hacker uneingeschränkte Rechte zur Remote-Code-Ausführung im zugrunde liegenden Betriebssystem erlangen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Virtualisierung abgelegt und mit Sicherheit, Virtualisierung verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Massen-Scan auf angreifbare VMware vCenter-Instanzen

  1. 1ST1 sagt:

    Das VCenter aus dem Internet erreichbar zu machen, ist grob fahrlässig, egal ob jetzt dieser Fehler vorhanden ist, oder nicht. Das gehört selbst innerhalb eines Intranets so abgeschottet, dass da nur berechtigte Admins dran kommen.

  2. Stephan sagt:

    “The Internet is a Dark Forest.”

    Wie mit Sicherheitslücken heutzutage umgegangen wird, ist einfach unverantwortlich. Sicherheitsupdates müssen binnen Stunden eingespielt werden, sonst steht man nackt im Dschungel da.
    https://twitter.com/certbund/status/1323558342242033665

    Der dunkle Wald ist eine Metapher für das Prinzip, daß jede Schwachstelle auch jemand finden und ausnutzen wird. Beispiel Bitcoin: Jeder schwache Schlüssel wird irgendwann in der Blockchain von jemand anders entdeckt und die Bitcoins geklaut. Die Metapher geht auf einen chinesischen Science-Fiction-Roman zurück, der in Internet- und Hackerkreisen sehr beliebt ist.
    https://en.wikipedia.org/wiki/The_Dark_Forest

    Man könnte es auch vergleichen mit dem alten deutschen Spruch: „Gelegenheit macht Diebe.“ Niemand würde argumentieren: „Warum sollte ich mein Auto abschließen? Die Wahrscheinlichkeit, daß heute ausgerechnet eine Person an meinem Auto vorbeiläuft, die sich für meinen Firmenlaptop interessiert, ist gering.“
    Dieser Vergleich ist natürlich absurd. Das Risiko bei nicht abgeschlossenen Fahrzeugen ist, daß ein Passant, der das zufällig sieht, es ausnutzen kann. Dasselbe gilt auch für nicht ordentlich gesicherte Systeme am Internet. Irgendeiner, der den Server zufällig sieht, wird Standardpaßwörter und bekannte Sicherheitslücken testen und dann gucken, ob etwas zu holen ist. Oft werden einfach nur massenhaft Zugänge geknackt und dann die Zugangsdaten auf dem Schwarzmarkt weiterverkauft, und so gelangt es am Ende dann doch an die falschen. Auch die Kriminalität ist hochgradig arbeitsteilig. War bei Solarwinds auch so.

    Natürlich sind auch die Hersteller in der Pflicht, ihre Updates ordentlich zu testen. Das Risiko, das irgendwas nach dem Update nicht mehr läuft, ist nicht zu unterschätzen, von daher kann man die Schuld hier auf keinen Fall nur beim einzelnen Administrator suchen.

  3. Anonymous sagt:

    So siehts aus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.