Seit dem 3. Februar 2023 zielen Angreifer aktiv auf VMware ESXi-Server ab, die nicht gegen eine zwei Jahre alte Sicherheitslücke für Remotecodeausführung gepatcht waren, um eine neue ESXiArgs-Ransomware zu installieren.
Laut einem Bericht bei BleepingComputer meldeten sich darauf zahlreiche betroffene Administratoren in deren Forum. Die Angreifer nutzen eine Schwachstelle, um sich Zugang zu den Servern zu verschaffen, und verschlüsseln dann die auf ihnen gehosteten virtuellen Maschinen. Sie verlangen eine Lösegeldzahlung für die Entschlüsselung der Daten. Der Angriff scheint von einer gut finanzierten und organisierten Gruppe durchgeführt zu werden und ist sehr effektiv, da ESXi-Server häufig in kritischen Infrastrukturen eingesetzt werden und schwer abzusichern sind.
Die als CVE-2021-21974 verfolgte Sicherheitslücke wird durch einen Heap-Überlauf im OpenSLP-Dienst verursacht, der von nicht authentifizierten Bedrohungsakteuren in Angriffen mit geringem Schwierigkeitsgrad ausgenutzt werden kann. Um eingehende Angriffe zu blockieren, müssen Administratoren den anfälligen Service Location Protocol (SLP)-Dienst auf ESXi-Hypervisoren, die noch nicht aktualisiert wurden, deaktivieren.
CVE-2021-21974 betrifft die folgenden Systeme:
- ESXi-Versionen 7.x vor ESXi70U1c-17325551
- ESXi-Versionen 6.7.x vor ESXi670-202102401-SG
- ESXi-Versionen 6.5.x vor ESXi650-202102101-SG
In Fällen, in denen das Patchen von CVE-2021-21974 Zeit in Anspruch nehmen wird, ist zu beachten, dass VMware auch Workarounds veröffentlicht hat, um das Risiko einer Ausnutzung zu verringern: https://kb.vmware.com/s/article/76372
Vielen Unternehmen fehlt es an einer Übersicht und Kategorisierung ihrer IT-Assets. Die Ergebnisse des „The State of Cyberwarfare and Trends Report 2022-2023“ zeigen auf, dass nur 27 Prozent der Befragten aus Deutschland, Österreich und der Schweiz angaben, dass ihre Firmen in Asset-Management investieren.