Angriffe auf VMware vCenter-Server, Proof of Concept verfügbar

Sicherheit (Pexels, allgemeine Nutzung)[English]Ende Mai hatte ich im Beitrag Schwachstelle CVE-2021-21985 in vSphere-Client, patchen! über eine Schwachstelle CVE-2021-21985 im VMware vSphere-Client berichtet und zum Patchen aufgefordert. Nun ist nicht nur ein Proof of Concept (PoC) öffentlich geworden. Angreifer scannen auch das Internet nach unpatchten VMware vCenter-Server-Instanzen.


Anzeige

Sicherheitsanbieter Tenable weist in nachfolgendem Tweet auf diese Angriffe auf VMware vSphere-Client hin, bei denen die Schwachstelle CVE-2021-21985 ausgenutzt wird.

CVE-2021-21985 ermöglicht eine Remotecodeausführung im vSphere-Client über das Plugin "Virtual SAN (vSAN) Health Check", das standardmäßig aktiviert ist. Dieser Sicherheitsanfälligkeit wurde ein CVSSv3-Score von 9.8 zugewiesen (kritische Schwachstelle). Die Ausnutzung ist möglich, wenn ein Angreifer in der Lage ist, über Port 443 auf vCenter Server zuzugreifen. Hat ein Unternehmen seine vCenter Server nicht öffentlich zugänglich gemacht, könnten Angreifer diese Schwachstelle ausnutzen, sobald sie sich in einem Netzwerk befinden. VMware weist ausdrücklich darauf hin, dass Ransomware-Gruppen geschickt darin sind, Schwachstellen wie diese nach einer Kompromittierung auszunutzen, nachdem sie sich über andere Mittel wie Spearphishing Zugang zu einem Netzwerk verschafft haben. Eine erfolgreiche Ausnutzung würde einem Angreifer die Möglichkeit geben, beliebige Befehle auf dem zugrunde liegenden vCenter-Host auszuführen.

Kevin Beaumont weist in diesem Tweet darauf hin, dass ein öffentlicher Proof of Concept (POC), der funktioniert, verfügbar ist. Zudem schreibt er: Mass scanning activity detected from 104.40.252.159 checking for VMware vSphere hosts vulnerable to remote code execution (CVE-2021-21985). Einer seiner Honeypots konnte eine Infektion über die genannte Schwachstelle verzeichnen. Die Kollegen von Bleeping Computer weisen in nachfolgendem Tweet ebenfalls auf das Thema hin und haben diesen Artikel mit weiteren Informationen veröffentlicht.

Wer also VMware vCenter-Server betreibt, sollte sicherstellen, dass die Instanzen gepatcht sind. Andernfalls dürfte bald eine Ransomware-Infektion drohen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Virtualisierung abgelegt und mit Sicherheit, Virtualisierung verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Angriffe auf VMware vCenter-Server, Proof of Concept verfügbar

  1. 1ST1 sagt:

    Wer stellt sein V-Center ins Internet? Einmal mit Profis…

  2. Raphael Groner sagt:

    … als ob Schadsoftware sich nicht auch per VPN verbreiten kann. Profis müssten das wissen.

    • Günter Born sagt:

      Profis haben gerade gelernt, dass die Ransomware-Angriffe auf Colonia Pipeline in den USA über einen nicht benutzen RDP-Zugang (deren Zugangsdaten im Darknet gekauft wurden) erfolgte. Aber ab dan sind die Ramsomwarer immer dankbar für weitere Lücken – und sei es nur als Fingerübung ;-).

    • 1ST1 sagt:

      Dazu muss die Schadsoftware ja erstmal auf ein System im VPN laufen. Aber da kann man es ihr ja noch sehr schwer machen, dort überhaupt zu laufen, durch Antivirus, lokale Firewall, Applocker und weiteres.

  3. Mr.Blacksmith sagt:

    Es begab sich zu einer Zeit, als in einem familiengeführten Chemiespezialbetrieb der studierte IT-Doktor nur mittels LinuX administrieren konnte und wollte und der dann im Sinne des Fortschritts eingestellte Windows-Systemadministrator auf sogenannte VLANs und deren Vorzüge hinwies im Rahmen seines Hauptschulabschlusses und dieser, bis heute, dafür belächelt und als Aluhutträger von den Vorgesetzten betituliert wird.

    Nun verhält es sich also in diesem Chemiespezialbetrieb so, das ein jeder Depp, der ne IP erlangen kann, auch ans VCENTER ran kommt…und EVOLA…aber was weiß ein Hauptschüler schon!

Schreibe einen Kommentar zu Mr.Blacksmith Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.