Heute noch ein kleiner Überblick über Schwachstellen in VMware-Produkten, die aktuell angegriffen werden, und / oder zu denen dringend Sicherheitspatches eingespielt werden sollen. Einerseits laufen mehrere derzeit verschiedene Kampagnen von Cyberangriffen gegen ESXi-Server. Andererseits gibt es von VMware auch Sicherheitsupdate für VMware Workstation, den VMware Player, für VMware Workspace und VMware vRealize Log. Ergänzung: Inzwischen warnt CERT-Bund vor der Schwachstelle CVE-2021-21974 in ESXi.
Anzeige
VMware Workstation, Player, Workspace
VMware hat die letzten Tage gleich mehrere Sicherheitsupdates für VMware Workstation, den Player, Workspace und vRealize Log veröffentlicht, um Schwachstellen zu beseitigen.
Sicherheitslücke CVE-2023-20854 in VMware Wokstation/Player 17.x
In der Version 17.x des VMware Workstation und VMware Player gibt es die Schwachstelle CVE-2023-20854. Es handelt sich um eine Schwachstelle in Bezug auf das Löschen beliebiger Dateien (arbitrary file deletion). Ein böswilliger Akteur mit lokalen Benutzerrechten auf dem Rechner des Opfers kann diese Sicherheitslücke ausnutzen, um beliebige Dateien aus dem Dateisystem des Rechners zu löschen, auf dem Workstation installiert ist. Die Schwachstelle hat den CVSSv3-Wert von 7.8 erhalten.
VMware hat zum 2. Februar 2023 ein Advisory VMSA-2023-0003 veröffentlicht und ein Update von VMware Workstation 17.01 freigegeben, welches die Schwachstelle schließt. Die Release Notes geben zudem Bug-Fixes für ein USB-Problem und weiteren Fehlerbehebungen an. Die Kollegen von deskmodder geben hier an, dass auch der VMware Player für Windows betroffen sei.
VMware Workspace angreifbar
Auch die Virtualisierungslösung VMware Workspace für Windows ist über eine Schwachstelle angreifbar. Eine Angreifer benötigt aber lokale Benutzerrechte auf dem betreffenden System. heise weist in nachfolgendem Tweet und in diesem Artikel auf diesen Sachverhalt hin.
Anzeige
Schwachstelle in VMware vRealize Log
Sicherheitsforscher haben Sicherheitslücken kombiniert und konnten unter vRealize Log von VMware Schadcode mit Root-Rechten ausführen, wie heise in nachfolgendem Tweet und in diesem Artikel ausführt. Auch Bleeping Computer hat das Thema die Tage in diesem Artikel aufgegriffen. Sicherheitsupdates zum Schließen der Schwachstelle sind verfügbar.
Angriffe auf VMware ESXi-Server
Seit einigen Tagen gibt es Angriffe auf VMware ESXi-Server durch Ransomware-Gruppen. Dabei wurden zwei unterschiedliche Ransomware-Kampagnen berichtet.
Angriffe durch ESXiArgs Ransomware
Nachfolgender Tweet weist darauf hin, dass auf Shodan mindestens 115 VMware ESXi-Server gefunden wurden, die kompromittiert wurden. Der Artikel Massive ESXiArgs ransomware attack targets VMware ESXi servers worldwide der Kollegen von Bleeping Computer thematisiert diese Angriffe über die Sicherheitslücke CVE-2021-21974 (Heap-Überlauf im OpenSLP-Dienst).
Die Schwachstelle kann von nicht authentifizierten Bedrohungsakteuren für Angriffe mit geringer Komplexität ausgenutzt werden. "Nach dem derzeitigen Stand der Ermittlungen scheinen diese Angriffskampagnen die Sicherheitslücke CVE-2021-21974 auszunutzen, für die seit dem 23. Februar 2021 ein Patch verfügbar ist", schreibt das CERT-FR. Eine Liste betroffener VMware ESXi-Versionen findet sich hier.
Ergänzung: Inzwischen gibt es auch eine Warnung von CERT-Bund vor der Schwachstelle, die ausgenutzt werde.
Linux-Variante der Royal Ransomware
Weiterhin werden VMware ESXi-Server wohl durch eine Linux-Variante der Royal Ransomware angegriffen. Die neue Linux Royal Ransomware-Variante wurde von Will Thomas vom Equinix Threat Analysis Center (ETAC) entdeckt (siehe folgender Tweet) und wird über die Kommandozeile ausgeführt.
Bleeping Computer berichtet im Artikel Linux version of Royal Ransomware targets VMware ESXi servers über diesen Fall des Angriffs durch die Linux-Variante der Royal Ransomware.
Anzeige
Was sitzen da für Admins, wenn ein seit 2 Jahren verfügbarer Patch zum Schließen der Sicherheitslücke immer noch nicht eingespielt wurde?
Evtl. überforderte Dienstleister und gar keine eigenen Admins. Die IT ist halt meist nur ein Kostenposten lt. Ansicht der Chefetage. Und wenn man daran spart sieht man was da raus kommt.
Selbst wenn ein ESXi nicht gepatched ist – erklärt mir mal einer warum ein Webinterface oder SSH von einem VM Host öffentlich erreichbar sein soll?
Das verstehe ich nicht, wir betreuen auch einige ESXi Hosts – diese sind halt alle hinter einer Firewall und maximal von unserer IP Adresse aus erreichbar.
Die Frage stelle ich mir auch, wer zum Henker macht einen ESXi oder das vCenter direkt übers Internet erreichbar?
Das ganze gehört in ein dediziertes Netz das vom regulären (auch internen) Netz nicht direkt erreichbar ist und auch nicht mit dem AD gekoppelt wird, gilt überigens auch für's Backup.
An der Stelle habe ich heute morgen auch ein wenig ungläubig geschaut, besonders weil es ja doch auch grössere erwischt hat wo man sowas nicht erwartet.
Bzw frage ich mich wie deren Netz überhaupt aufgebaut ist dass sowas passieren kann.
Bei SSH warnt einen ja sogar VMware schon selbst auf dem Webinterface, dass SSH für den Host aktiviert wurde. Damit muss ich vielleicht mal einen Treiber für eine Netzwerkkarte / einen Storage-Controller außer der Reihe aktualisieren, um die HCL zu erfüllen. Das dauert aber im schlimmsten Fall eine halbe Stunde und danach schaltet man SSH wieder ab.
Ein Patch der seit zwei Jahren verfügbar ist wird nicht installiert und dann auch noch der Port aus Richtung Internet geöffnet. -> Mehr als grobe Fahrlässigkeit fällt einem dazu nicht mehr ein.
Im Moment kann man offiziell 17.0.1 nicht herunterladen? Man bekommt nur wieder die 17.0.0 angeboten?
Kann es sein daß da was zurückgezogen wurde?
Weiß man da den Grund?
Also zumindest nicht wenn man
https://www.vmware.com/go/getworkstation-win wählt.
Über VMware Login ist 17.0.1 verfügbar.
Einige Bugs in Workstation Pro 17 sollten upgradewillige nicht übersehen.
Warum hier Workstation Pro 16.2.5 in der Lücke nicht erwähnt wird, ist auch irgendwie seltsam. Nicht betroffen oder einfach nicht mehr erwähnt weil es "eh schon v17" gibt? Hm…
Das mal paar Wochen ins Land gehen, bis die Server gepatcht sind, das kann ich nachvollziehen.
Zwei Jahre lang nicht zu patchen, ist aber schon eine Hausnummer.
Aber!
Mir ist nicht erklärlich, warum man einen ESXi DIREKT über das Internet erreichbar machen sollte?!
Vllt. hat ja jemand mal eine überzeugende Antwort.
Wenn ich es richtig verstanden habe läuft der Angriff über ein Gastsystem (irgend ein Shop oder Webportal) als virtueller Gast, aus dem man ausbricht. Dann übernimmt man den Host.