Patch dringend erforderlich! Schwere Sicherheitslücke in VMware ESXi

Anbieter zum Thema

VMware Global Inc Zweigndl. Deutschland

Checkpoint Media G.-Rüdiger Päckert

G DATA CyberDefense AG

DAXTEN GmbH

Kentix GmbH

mehr weniger

Data Center Group – Büro Köln

weniger

Eine kritische Sicherheitslücke in der Virtualisierungsplattform „ESXi“ von VMware wird derzeit aktiv ausgenutzt, um Serversysteme in aller Welt anzugreifen. Ein Patch für die zwei Jahre alte Lücke ist verfügbar und sollte umgehend installiert werden.

Pünktlich zum Wochenende meldete unter anderem das französische CERT (CERT-FR) eine Angriffswelle gegen Systeme, auf denen VMware ESXi in den Versionen 6.5.x, 6.7.x sowie 7.x läuft (Details auf der Webseite von VMware). Das Brisante daran: Die hier zugrunde liegende Lücke war zum Zeitpunkt des Ausbruchs bereits bekannt und gepatcht. Um genau zu sein: Die Cyber-Kriminellen nutzen die Schwachstelle CVE-2021-21974 aus, eine Sicherheitslücke, die bereits im Februar 2021 gemeldet wurde.

Die Angriffe richten sich also gezielt gegen ungepatchte Systeme. Die Schwachstelle hat einen Kritikalitätswert von 9.8 – die höchstmögliche Zahl ist 10. Viel kritischer wird es also nicht.

Sofortmaßnahmen

Auf erfolgreich angegriffenen Systemen wird die Nevada-Ransomware installiert, die unter anderem die virtuellen Festplatten der Gastsysteme verschlüsselt (Dateiendungen *vmdk, *vmx, *vmsd und andere). „Wer bisher die Patches nicht installiert hat, sollte hier schnellstens aktiv werden“, sagt Tim Berghoff, Security Evangelist bei der G Data Cyberdefense AG. „Verschlüsselte Systeme sorgen teilweise für Ausfälle, unter anderem bei einem italienischen Telekommunikationsanbieter.“

Um Angriffe zumindest vorerst zu blocken, wird empfohlen, das SLP-Protokoll auf ungepatchten Hypervisor-Systemen zu deaktivieren. Dazu sind in der Shell die folgenden Kommandos erforderlich:

Ausführliche Informationen finden sich in der VMware Knowledge Base.

„Auch wenn es keine erkennbaren Zeichen eines Angriffs gibt, lohnt es sich nach IoC (Indicators of Compromise) zu suchen“, rät Berghoff.

Auch Nicht-Windows-Maschinen nun in Gefahr

Auch Lothar Geuenich, Vice President Central Europe / DACH bei Check Point Software Technologies, äußert sich zur Schwere des Angriffs: „Der jüngste Cyber-Angriff auf Tausende Server in Europa und dem Rest der Welt unterscheidet sich deutlich von den Angriffen, von denen man normalerweise in den täglichen Nachrichten hört. Oft werden dabei private Organisationen geschädigt und Datenverletzungen begangen. Dieser Ransomware-Angriff hat aber potenzielle Auswirkungen, die auf die gesamte Bevölkerung übergreifen und zu nationalen oder sogar globalen Störungen führen können.“

Die Ausfälle, die in den letzten Tagen aufgetreten seien, können genau auf diesen Ransomware-Angriff zurückgeführt werden, der nicht nur in europäischen Ländern wie Frankreich und Italien, sondern weltweit eine wachsende Bedrohung darstellt. Diese massive Attacke auf ESXi-Server gelte zudem als einer der umfangreichsten Cyber-Angriffe, die jemals auf Nicht-Windows-Maschinen gemeldet wurden. Das mache die Situation noch besorgniserregender; denn die meisten Ransomware-Angriffe seien bis vor kurzem auf Windows-basierte Rechner beschränkt gewesen.

• 1. Vorbeugen hilft ..... gegen Ransomware-Attacken

• 2. Aktuelle Patches: Computer und Server sollten auf dem neuesten Stand gehalten und Sicherheits-Patches angewendet werden.

• 3. Software auf dem neuesten Stand halten. Ransomware-Angreifer finden manchmal einen Einstiegspunkt in Anwendungen und Software, bemerken Schwachstellen und nutzen sie aus. Glücklicherweise suchen einige Entwickler aktiv nach neuen Schwachstellen und schließen diese mit Patches aus. Unternehmen benötigen eine Patch-Management-Strategie, um sicherzustellen, dass alle Systeme stets auf dem neuesten Stand sind.

• 4. Intrusion-Prevention-Systeme (IPS) erkennen oder verhindern Versuche, Schwachstellen in anfälligen Systemen oder Anwendungen auszunutzen, und schützen so vor Ausnutzung der neuesten Bedrohungen. Unternehmen sollten eine Firewall mit IPS implementieren, die sich automatisch aktualisiert und das Unternehmen entsprechend reaktionsschnell schützt - unabhängig davon, ob die Schwachstelle vor Jahren oder vor ein paar Minuten veröffentlicht wurde.

• 5. Prävention vor Erkennung: Viele behaupten, dass Angriffe irgendwann erfolgreich sind und dass es keine Möglichkeit gibt, sie zu verhindern. Daher bleibt nur die Investition in Technologien, die den Angriff erkennen, wenn er bereits in das Netzwerk eingedrungen ist, um den Schaden so schnell wie möglich zu mindern. Dies ist nicht richtig. Angriffe können nicht nur blockiert, sondern auch verhindert werden, einschließlich Zero-Day-Angriffe und unbekannte Malware. Mit den richtigen Technologien können die meisten Angriffe, selbst die fortschrittlichsten, verhindert werden, ohne den normalen Geschäftsablauf zu unterbrechen.

• 6. Robuste Datensicherung: Das Ziel von Ransomware ist es, das Opfer zur Zahlung eines Lösegelds zu zwingen, damit es wieder Zugriff auf seine verschlüsselten Daten erhält. Dies ist jedoch nur wirksam, wenn das Ziel den Zugriff auf seine Daten verliert. Eine robuste, sichere Datensicherungslösung ist ein wirksames Mittel, um die Auswirkungen eines Ransomware-Angriffs abzuschwächen. Wenn die Systeme regelmäßig gesichert werden, sollte der Datenverlust durch einen Ransomware-Angriff minimal oder gar nicht vorhanden sein. Es muss jedoch sichergestellt werden, dass die Datensicherungslösung nicht ebenfalls verschlüsselt werden kann. Die Daten sollten daher in einem schreibgeschützten Format gespeichert werden, um die Verbreitung von Ransomware auf Laufwerke mit Wiederherstellungsdaten zu verhindern.

• 7. Anti-Ransomware-Lösungen: Die oben genannten Maßnahmen zur Prävention können zwar dazu beitragen, die Gefährdung eines Unternehmens durch Ransomware-Bedrohungen zu verringern, sie bieten jedoch keinen perfekten Schutz. Einige Täter verwenden gut recherchierte und sehr gezielte Spear-Phishing-E-Mails als Angriffsvektor. Diese E-Mails können selbst die sorgfältigsten Mitarbeiter austricksen und dazu führen, dass Ransomware Zugriff auf die internen Systeme eines Unternehmens erhält. Der Schutz vor dieser Ransomware, die „durch die Maschen schlüpft", erfordert eine spezielle Sicherheitslösung. Um ihr Ziel zu erreichen, muss Ransomware bestimmte anomale Aktionen durchführen, wie das Öffnen und Verschlüsseln einer großen Anzahl von Dateien. Anti-Ransomware-Lösungen überwachen Programme, die auf einem Computer laufen, auf verdächtige Verhaltensweisen, die häufig von Ransomware gezeigt werden. Wenn diese Verhaltensweisen erkannt werden, kann das Programm Maßnahmen ergreifen, um die Verschlüsselung zu stoppen, bevor weiterer Schaden entsteht.

(ID:49054777)