[English]Kurzer Rückblick auf den Februar 2023 – seit Anfang des Jahres wurden zahlreiche VMware ESXi-Server über eine bekannte und längst geschlossene Schwachstelle gekapert. Dies VMware-ESXi-Lücke hat ein gewaltiges Gefährdungspotenzial und es gibt wohl immer noch Tausende ungepatchte Systeme. Hier nochmals ein kurzer Überblick.
Anzeige
Angriffswelle auf ESXi-Server
Seit Ende Januar 2023 wurden weltweit tausende VMware-Server von einem Ransomware-Akteur erfolgreich angegriffen. Das französische CERT-FR hatte zum 3. Februar 2023 als erstes eine Warnung herausgegeben und zwei Schwachstellen angesprochen, für die VMware längst Sicherheitsupdates bereitstellt. Hier die relevanten VMware Sicherheitsempfehlungen.
- VMSA-2021-0002 vom 23. Januar 2021 beschreibt mehrere Sicherheitslücken in VMware ESXi und vCenter Server, die durch Updates geschlossen wurden. Mit dabei die ESXi OpenSLP Heap-Oerflow-Schwachstelle (CVE-2021-21974) mit einem CVSSv3 Wert von 8.8. VMware empfahl seinerzeit, den OpenSLP-Dienst in ESXi zu deaktivieren, wenn er nicht verwendet wird.
- VMSA-2020-0023 vom 24. November 2020 beschreibt mehrere Sicherheitslücken, u.a. in VMware ESXi-Server. Dort wurde eine ESXi OpenSLP Remote Code Execution-Schwachstelle (CVE-2020-3992, use-after-free) thematisiert (CVSSv3-Wert von 9.8). Ein böswilliger Akteur, der sich im Verwaltungsnetzwerk befindet und Zugriff auf Port 427 auf einem ESXi-Rechner hat, kann möglicherweise eine Use-after-free-Funktion im OpenSLP-Dienst auslösen, die zu einer Remotecodeausführung führt.
Inzwischen ist bekannt, dass weltweit tausende ESXi-Server erfolgreich angegriffen und mit Ransomware infiziert wurden. Ich hatte im Blog-Beitrag Sicherheitsvorfälle und Patch-Erinnerungen für VMware-Administratoren (6. Feb. 2023) vom 6. Februar 2023 auf die stattfindenden Infektionen hingewiesen. Sicherheitsbehörden weltweit warnten vor dieser Cyberangriffswelle, die auf VMwares ESXi-Server abzielt. Der Fall zeigt, dass nachlässig gewartete Software-Systeme eine potentielle Gefahr darstellen, dass Firmen Opfer von Cyberangriffen werden.
Ungepatchte VMware ESXi-Server als Risiko
Die Tage ist mir nachfolgender Tweet unter die Augen gekommen – die Schweizer Cyber-Sicherheitsbehörde sieht in den Cyberangriffen auf ESXi-Server ein Risiko, welches Auswirkungen auf die gesamte Bevölkerung haben und zu nationalen oder sogar globalen Störungen führen könnte.
Der Beitrag ist hier abrufbar. Auch Bitdefender warnte vor dieser Sicherheitsbedrohung. Martin Zugec, Technical Solutions Director bei Bitdefender, meint dazu:
Die Attacken auf die VMware-ESXi-Hypervisoren, welche mit wenig Aufwand die jüngst [GB: jüngst heißt in diesem Kontext 2021] bekannt gewordene CVE-2021-21974-Schwachstelle ausnutzen, um die verschiedensten Payloads als Remote Code auszuspielen, haben ein enormes Verbreitungspotenzial. Sie entwickeln sich daher zu Massen-Attacken für opportunistisch vorgehende Cyberkriminelle und sind ein aktuelles Beispiel für hybride Angriffe: In der ersten Phase gehen die Hacker automatisiert vor, um dann Suchergebnisse auszuwerten und in der zweiten Phase händisch den gezielten Angriff weiter auszuspielen. Es ist zu erwarten, dass viele Nutzer die Lücke für Supply-Chain-Attacken nutzen werden, um das eigentlich avisierte Unternehmen über seine Zulieferer anzugreifen.
[…] Das zahlenmäßige Potential betroffener Systeme ist aber enorm. Laut den Suchergebnissen des offen bereitstehenden und auch von Hackern benutzten Shodan-Tools geht die Zahl der Nutzer eines VMware-ESXi-Hosts in die Zehntausende. Vor allem von den alten Versionen vor ESXi 7.0 sind bis zu 60.000 Hosts im Internet sichtbar.
Erst ab der Version 7.0 wird der OpenSLP-Dienst, der die Sicherheitslücke erschließt, per Default deaktiviert. OpenSLP ist zudem ein ideales Einfalltor für die Übernahme von Hypervisoren nach dem Kapern einer beliebigen virtuellen Maschine.
Wer sich schützen will, muss daher jetzt zu grundlegenden Abwehrmaßnahmen greifen. Und das kann nur das Updaten auf die neuesten Versionen der Hypervisoren sein. Das generelle Blocken durch eine Firewall von Port 427 (TCP/UDP), den OpenSLP für seine Kommunikation nutzt, kann nicht den direkten Angriff eines Hackers auf eine virtuelle Maschine ausschließen. Es ist zwar die erste Abwehrmaßnahme, verschafft aber keine wirkliche Sicherheit. Und die jetzt beobachteten Angriffswellen sind zudem nur Vorboten für weitere Attacken in diesem Jahr durch erfahrene und fortgeschrittene Gruppen von Cyberkriminellen."
Problem werden halt weiterhin die ungepatchten und wohl auch nicht mehr gewarteten ESXi-Installationen sein.
Ähnliche Artikel:
Cyberangriffe auf Server: Das VMware ESXi-Debakel; "Recovery-Script" für ESXiArgs Ransomware-Opfer
Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem
Windows Server 2022: VMware ESXi 7.0 U3k-Patch für Secure Boot-Problem (Update KB5022842, Feb. 2023)
Anzeige
2015
In diesem Fall sind IMHO gleich zwei Dinge völlig falsch gelaufen. Das eine sind die nicht installierten Patches, das andere die direkte Erreichbarkeit dieser Systeme aus dem Internet. Gerade für den letzten Punkt kenne ich keine Erklärung, warum das so sein muss.
Das muss nicht sein aber es gibt sicher einige IT-Dienstleister mit "Schnellbesohlung" wo nur zählt dass es läuft und nicht dass es auch sicher ist. Und wenn der Kunde dann noch an jeder Stunde Arbeitszeit rummosert wird auf so etwas "lästiges" wie Sicherheit halt gespart.
…und wird dann noch mit Folgeaufträgen beglückt, wenn alles abgebrannt ist.
Wer sollte denn sonst helfen können?
Mag sein aber die Alternativen sind
a)
den Auftrag nicht annhemnen
b)
als absolutes Minimum das VPN des Routers als Bedingung setzten
c)
einen Jumphost mit Teamviewer oder was auch immer ansagen.
Gruß