zephyr_p - stock.adobe.com
Ransomware: Weltweite Angriffe auf VMware ESXi-Server
Es erfolgen derzeit weitreichende Angriffe auf VMware ESXi-Server mit Ransomware. Das BSI spricht von mehreren hundert Systemen, die in Deutschland betroffen seien.
Die Angriffe erfolgen laut BSI weltweit, der regionale Schwerpunkt der Angriffe lag dabei auf Frankreich, den USA, Deutschland und Kanada. Es seien auch weitere Länder betroffen. Das französische CERT hat am 03. Februar eine entsprechenden Hinweise auf die Angriffe einer Schwachstelle im VMware ESXi, veröffentlicht, wie unsere französischen Kollegen von LeMagIT berichten.
Wie das BSI berichtet, wird derzeit davon ausgegangen, dass eine Schwachstelle, für die bereits seit dem Februar 2021 ein Patch vorliegt, angegriffen wird. Derzeit gehe man davon aus, dass in Deutschland eine dreistellige Anzahl an betroffenen Systemen existiere. Der Sicherheitsvorfall werde analysiert und man stehe im Austausch mit den internationalen Behörden.
Von den Angriffen betroffene VMware-ESXI-Server
Das BSI hat eine Sicherheitswarnung veröffentlicht, um IT-Teams und Admins mit den entsprechenden Informationen zu unterstützen. Demnach machen sich die Angreifer eine Schwachstelle im OpenSLP-Service der Lösung zunutze. Dabei werde ein Heap Overflow angestoßen, hierdurch könne dann Code aus Ferne ausgeführt werden. So kann beispielsweise ein Ransomware-Angriff mit Verschlüsselung von Daten erfolgen. Für die bekannte Schwachstelle wurde von VMware ein Patch im Februar 2021 veröffentlicht.
Folgende Versionen sind betroffen:
ESXi 7.x-Versionen vor ESXi70U1c-17325551
ESXi-Versionen 6.7.x früher als ESXi670-202102401-SG
ESXi-Versionen 6.5.x früher als ESXi650-202102101-SG
VMware rät auf die neuesten unterstützen Versionen der vSphere-Komponenten zu aktualisieren. Darüber hinaus hat VMware empfohlen, den OpenSLP-Dienst in ESXi zu deaktivieren. Seit 2021 würden die Lösungen ESXi 7.0 U2c und ESXi 8.0 GA mit einem standardmäßig deaktivierten Dienst ausgeliefert. Zudem hat VMware hat keine Anzeichen dafür gefunden, die darauf hindeuten, dass eine unbekannte Schwachstelle (0-Day) zur Verbreitung der Ransomware genutzt wird, die bei diesen jüngsten Angriffen verwendet wurde.
Das BSI weist darauf hin, dass die massive Ausnutzung dieser Schwachstelle zu erheblichen Beeinträchtigungen des Geschäftsbetriebs führen kann. Dazu muss ja nicht zwangsweise das eigene Unternehmen betroffen sein. Wenn Geschäftspartner und Dienstleister betroffen sind, kann dies ebenfalls nachhaltige Störungen verursachen. Organisationen, die noch verwundbare Systeme im Einsatz haben, sollten diese auf den neuesten Stand bringen. Darüber hinaus sollte überprüft werden, welche Systeme über das Internet erreichbar sein müssen.
Mehrere Sicherheitsforscher gehen davon aus, dass es sich bei der bei diesen Angriffen verwendeten Ransomware um eine neue Variante handelt, die sie aufgrund der Erweiterung „.args“, die den verschlüsselten Dateien nach der Ausführung der Ransomware hinzugefügt wird, als ESXiArgs bezeichnen.
Angriffe mit potenziell weitreichenden Folgen
Konkrete Aussagen zu der Anzahl der hierzulande betroffenen Systeme und den möglichen Schäden sind derzeit nicht möglich, so das BSI. Das die Auswirkungen weitreichende Folgen haben können, verdeutlichen die oben genannten Gründe. Das kann auch für kritische Infrastrukturen gelten. Zudem verdeutlichen die jüngsten Angriffe einmal mehr, die Folgen, wenn vorhandene Sicherheitsupdates nicht eingespielt werden, obwohl diese vom Hersteller zur Verfügung gestellt werden.
„Der jüngste Cyberangriff auf tausende Server in Europa und dem Rest der Welt unterscheidet sich deutlich von den Angriffen, von denen man normalerweise in den täglichen Nachrichten hört.“, so Lothar Geuenich, VP Central Europe / DACH bei Check Point Software Technologies. „Diese massive Attacke auf ESXi-Server gilt zudem als einer der umfangreichsten Cyberangriffe, die jemals auf Nicht-Windows-Maschinen gemeldet wurden. Was die Situation noch besorgniserregender macht, ist die Tatsache, dass Ransomware-Angriffe bis vor kurzem auf Windows-basierte Rechner beschränkt waren.“
„Virtualisierung ist das Herzstück der Cloud-Strategie der meisten Unternehmen – ob On-Premises, Public- oder Hybrid-Cloud, wobei der Hypervisor das Rückgrat der IT bildet. Angreifer wissen, dass sie auf diese Ebene zielen können, um ihre Privilegien zu erhöhen und Zugang zu allem zu erhalten.“, meint Bernard Montel, EMEA Technical Director and Security Strategist bei Tenable.
„In diesem speziellen Fall wurden nicht auf die Schnelle ein oder zwei Unternehmen angegriffen. Es handelt sich vielmehr um eine großangelegte Kampagne organisierter Kriminalität, die wir in dem Ausmaß nicht kennen. Jedes Unternehmen wird einzeln für sich angegriffen, was für die Cyberkriminellen einen deutlich größeren Aufwand darstellt.“, so Richard Werner, Business Consultant bei Trend Micro.