Sicherheitsvorfälle und Patch-Erinnerungen für VMware-Administratoren (6. Feb. 2023)

Sicherheit (Pexels, allgemeine Nutzung)Heute noch ein kleiner Überblick über Schwachstellen in VMware-Produkten, die aktuell angegriffen werden, und / oder zu denen dringend Sicherheitspatches eingespielt werden sollen. Einerseits laufen mehrere derzeit verschiedene Kampagnen von Cyberangriffen gegen ESXi-Server. Andererseits gibt es von VMware auch Sicherheitsupdate für VMware Workstation, den VMware Player, für VMware Workspace und  VMware vRealize Log. Ergänzung: Inzwischen warnt CERT-Bund vor der Schwachstelle CVE-2021-21974 in ESXi.


Anzeige

VMware Workstation, Player, Workspace

VMware hat die letzten Tage gleich mehrere Sicherheitsupdates für VMware Workstation, den Player, Workspace und vRealize Log veröffentlicht, um Schwachstellen zu beseitigen.

Sicherheitslücke CVE-2023-20854 in VMware Wokstation/Player 17.x

In der Version 17.x des VMware Workstation und VMware Player gibt es die Schwachstelle CVE-2023-20854. Es handelt sich um eine Schwachstelle in Bezug auf das Löschen beliebiger Dateien (arbitrary file deletion). Ein böswilliger Akteur mit lokalen Benutzerrechten auf dem Rechner des Opfers kann diese Sicherheitslücke ausnutzen, um beliebige Dateien aus dem Dateisystem des Rechners zu löschen, auf dem Workstation installiert ist. Die Schwachstelle hat den CVSSv3-Wert von 7.8 erhalten.

VMware hat zum 2. Februar 2023 ein Advisory VMSA-2023-0003 veröffentlicht und ein Update von VMware Workstation 17.01 freigegeben, welches die Schwachstelle schließt. Die Release Notes geben zudem Bug-Fixes für ein USB-Problem und weiteren Fehlerbehebungen an. Die Kollegen von deskmodder geben hier an, dass auch der VMware Player für Windows betroffen sei.

VMware Workspace angreifbar

Auch die Virtualisierungslösung VMware Workspace für Windows ist über eine Schwachstelle angreifbar. Eine Angreifer benötigt aber lokale Benutzerrechte auf dem betreffenden System. heise weist in nachfolgendem Tweet und in diesem Artikel auf diesen Sachverhalt hin.


Anzeige

VMware Workspace angreifbar

Schwachstelle in VMware vRealize Log

Sicherheitsforscher haben Sicherheitslücken kombiniert und konnten unter vRealize Log von VMware Schadcode mit Root-Rechten ausführen, wie heise in nachfolgendem Tweet und in diesem Artikel ausführt. Auch Bleeping Computer hat das Thema die Tage in diesem Artikel aufgegriffen. Sicherheitsupdates zum Schließen der Schwachstelle sind verfügbar.

Schwachstelle in VMware vRealize Log

Angriffe auf VMware ESXi-Server

Seit einigen Tagen gibt es Angriffe auf VMware ESXi-Server durch Ransomware-Gruppen. Dabei wurden zwei unterschiedliche Ransomware-Kampagnen  berichtet.

Angriffe durch ESXiArgs Ransomware

Nachfolgender Tweet weist darauf hin, dass auf Shodan mindestens 115 VMware ESXi-Server gefunden wurden, die kompromittiert wurden. Der Artikel Massive ESXiArgs ransomware attack targets VMware ESXi servers worldwide der Kollegen von Bleeping Computer thematisiert diese Angriffe über die Sicherheitslücke CVE-2021-21974 (Heap-Überlauf im OpenSLP-Dienst).

Kompromittierte VMware ESXi-Server

Die Schwachstelle kann von nicht authentifizierten Bedrohungsakteuren für Angriffe mit geringer Komplexität ausgenutzt werden. "Nach dem derzeitigen Stand der Ermittlungen scheinen diese Angriffskampagnen die Sicherheitslücke CVE-2021-21974 auszunutzen, für die seit dem 23. Februar 2021 ein Patch verfügbar ist", schreibt das CERT-FR. Eine Liste betroffener VMware ESXi-Versionen findet sich hier.

Ergänzung: Inzwischen gibt es auch eine Warnung von CERT-Bund vor der Schwachstelle, die ausgenutzt werde.

Linux-Variante der Royal Ransomware

Weiterhin werden VMware ESXi-Server wohl durch eine Linux-Variante der Royal Ransomware angegriffen. Die neue Linux Royal Ransomware-Variante wurde von Will Thomas vom Equinix Threat Analysis Center (ETAC) entdeckt (siehe folgender Tweet)  und wird über die Kommandozeile ausgeführt.

Royal Ransomware auf VMware ESXi-Server

Bleeping Computer berichtet im Artikel Linux version of Royal Ransomware targets VMware ESXi servers über diesen Fall des Angriffs durch die Linux-Variante der Royal Ransomware.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update, Virtualisierung abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Sicherheitsvorfälle und Patch-Erinnerungen für VMware-Administratoren (6. Feb. 2023)

  1. R.S. sagt:

    Was sitzen da für Admins, wenn ein seit 2 Jahren verfügbarer Patch zum Schließen der Sicherheitslücke immer noch nicht eingespielt wurde?

    • Daniel sagt:

      Evtl. überforderte Dienstleister und gar keine eigenen Admins. Die IT ist halt meist nur ein Kostenposten lt. Ansicht der Chefetage. Und wenn man daran spart sieht man was da raus kommt.

  2. secondJo sagt:

    Selbst wenn ein ESXi nicht gepatched ist – erklärt mir mal einer warum ein Webinterface oder SSH von einem VM Host öffentlich erreichbar sein soll?

    Das verstehe ich nicht, wir betreuen auch einige ESXi Hosts – diese sind halt alle hinter einer Firewall und maximal von unserer IP Adresse aus erreichbar.

    • Joerg sagt:

      Die Frage stelle ich mir auch, wer zum Henker macht einen ESXi oder das vCenter direkt übers Internet erreichbar?

      Das ganze gehört in ein dediziertes Netz das vom regulären (auch internen) Netz nicht direkt erreichbar ist und auch nicht mit dem AD gekoppelt wird, gilt überigens auch für's Backup.

      • Flo sagt:

        An der Stelle habe ich heute morgen auch ein wenig ungläubig geschaut, besonders weil es ja doch auch grössere erwischt hat wo man sowas nicht erwartet.

        Bzw frage ich mich wie deren Netz überhaupt aufgebaut ist dass sowas passieren kann.

    • Singlethreaded sagt:

      Bei SSH warnt einen ja sogar VMware schon selbst auf dem Webinterface, dass SSH für den Host aktiviert wurde. Damit muss ich vielleicht mal einen Treiber für eine Netzwerkkarte / einen Storage-Controller außer der Reihe aktualisieren, um die HCL zu erfüllen. Das dauert aber im schlimmsten Fall eine halbe Stunde und danach schaltet man SSH wieder ab.
      Ein Patch der seit zwei Jahren verfügbar ist wird nicht installiert und dann auch noch der Port aus Richtung Internet geöffnet. -> Mehr als grobe Fahrlässigkeit fällt einem dazu nicht mehr ein.

  3. MWC sagt:

    Im Moment kann man offiziell 17.0.1 nicht herunterladen? Man bekommt nur wieder die 17.0.0 angeboten?
    Kann es sein daß da was zurückgezogen wurde?

    Weiß man da den Grund?

    • MWC sagt:

      Also zumindest nicht wenn man
      https://www.vmware.com/go/getworkstation-win wählt.
      Über VMware Login ist 17.0.1 verfügbar.

      Einige Bugs in Workstation Pro 17 sollten upgradewillige nicht übersehen.

      Warum hier Workstation Pro 16.2.5 in der Lücke nicht erwähnt wird, ist auch irgendwie seltsam. Nicht betroffen oder einfach nicht mehr erwähnt weil es "eh schon v17" gibt? Hm…

  4. Stefan A. sagt:

    Das mal paar Wochen ins Land gehen, bis die Server gepatcht sind, das kann ich nachvollziehen.
    Zwei Jahre lang nicht zu patchen, ist aber schon eine Hausnummer.

    Aber!
    Mir ist nicht erklärlich, warum man einen ESXi DIREKT über das Internet erreichbar machen sollte?!

    Vllt. hat ja jemand mal eine überzeugende Antwort.

    • Fritz sagt:

      Wenn ich es richtig verstanden habe läuft der Angriff über ein Gastsystem (irgend ein Shop oder Webportal) als virtueller Gast, aus dem man ausbricht. Dann übernimmt man den Host.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.