Startseite > Security > Angriffswelle nutzt alte VMware-Lücke

Internationale Ransomware-Kampagne

Angriffswelle nutzt alte VMware-Lücke

7. Februar 2023, 7:00 Uhr | Wilhelm Greiner

Das BSI warnt vor einem breit gestreuten Ransomware-Angriff, dem laut Medienberichten bereits Tausende ESXi-Server zum Opfer fielen. Regionale Schwerpunkte der Angriffe sind laut BSI-Angaben Frankreich, die USA, Deutschland und Kanada, aber auch weitere Länder seien betroffen. Fachleute raten dringend dazu, die Sicherheitslücke in VMware ESXi zu schließen – der Patch dazu liegt seit ... tja nun, ähm ... Februar 2021 vor.

Die Angreifer machten sich laut BSI (Bundesamt für Sicherheit in der Informationstechnik) eine schon lange bekannte Schwachstelle in VMwares Hypervisor ESXi zunutze, um einen Heap Overflow anzustoßen und dadurch einen RCE-Angriff (Remote Code Execution) auszuführen. Die Sicherheitslücke wird unter dem Namen CVE-2021-21974 geführt, der Risikograd ist mit einem CVSS-Schweregrad von 8,8 als „hoch“ eingestuft.

Damit zusammenhängende Lücken im vSphere-HTML5-Client haben laut VMware-Angaben sogar eine Kritikalität von 9,8 auf der bis 10,0 reichenden Skala. Informationen zur Sicherheitslücke selbst und den passenden Patch hatte VMware bereits im Februar 2021 veröffentlicht.

Nach bisherigen Erkenntnissen, so das BSI, scheint in Deutschland eine mittlere dreistellige Zahl an Systemen betroffen. Konkretere Aussagen zum Ausmaß der Schäden seien noch nicht möglich. Man analysiere den Vorfall, stehe im engen Austausch mit internationalen Partnern und werde über aktuelle Erkenntnisse informieren, so das BSI. Auch ausländische Behörden haben bereits vor dieser Angriffswelle gewarnt, darunter die zuständigen Stellen in Italien und Frankreich.

Auf erfolgreich angegriffenen Systemen wird laut Angaben des Bochumer Security-Spezialsiten G Data CyberDefense die Nevada-Ransomware installiert, die unter anderem die virtuellen Festplatten der Gastsysteme verschlüsselt (Dateiendungen *vmdk, *vmx, *vmsd etc.). „Wer bisher die Patches nicht installiert hat, sollte hier schnellstens aktiv werden“, sagt Tim Berghoff, Security Evangelist bei der G Data. „Verschlüsselte Systeme sorgen teilweise für Ausfälle, unter anderem bei einem italienischen Telekommunikationsanbieter.“

Um Angriffe zumindest vorerst zu blockieren, rät G Data, das Service-Location-Protokoll (SLP) auf ungepatchten Hypervisor-Systemen zu deaktivieren. „Auch wenn es keine erkennbaren Zeichen eines Angriffs gibt, lohnt es sich, nach IoC (Indicators of Compromise, Anzeichen eines erfolgreichen Angriffs, d.Red.) zu suchen“, so Berghoff.

Nähere Informationen bietet VMware in seiner Knowledge Base unter https://www.vmware.com/security/advisories/VMSA-2021-0002.html.

Das BSI hat eine Cybersicherheitwarnung mit Schutzmaßnahmen veröffentlicht, zu finden unter https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-205338-1032.html?nn=132646.