Statement zur VMware-ESXi-Lücke

Attacken von der Stange bedrohen immer noch Zehntausende von Servern

Hacker Angriff
LinkedInXingPocketWhatsAppFlipboard

„Die Attacken auf die VMware-ESXi-Hypervisoren, welche mit wenig Aufwand die jüngst bekannt gewordene CVE-2021-21974-Schwachstelle ausnutzen, um die verschiedensten Payloads als Remote Code auszuspielen, haben ein enormes Verbreitungspotenzial. Sie entwickeln sich daher zu Massen-Attacken für opportunistisch vorgehende Cyberkriminelle und sind ein aktuelles Beispiel für hybride Angriffe.

In der ersten Phase gehen die Hacker automatisiert vor, um dann Suchergebnisse auszuwerten und in der zweiten Phase händisch den gezielten Angriff weiter auszuspielen. Es ist zu erwarten, dass viele Nutzer die Lücke für Supply-Chain-Attacken nutzen werden, um das eigentlich avisierte Unternehmen über seine Zulieferer anzugreifen.

Anzeige

Ausmaß der Attacken noch unklar

Das Ausmaß der Attacken lässt sich zwar noch nicht exakt abschätzen. Die Angriffswelle startet erst jetzt. Das zahlenmäßige Potential betroffener Systeme ist aber enorm. Laut den Suchergebnissen des offen bereitstehenden und auch von Hackern benutzten Shodan-Tools geht die Zahl der Nutzer eines VMware-ESXi-Hosts in die Zehntausende. Vor allem von den alten Versionen vor ESXi 7.0 sind bis zu 60.000 Hosts im Internet sichtbar. Erst ab der Version 7.0 wird der OpenSLP-Dienst, der die Sicherheitslücke erschließt, per Default deaktiviert. OpenSLP ist zudem ein ideales Einfalltor für die Übernahme von Hypervisoren nach dem Kapern einer beliebigen virtuellen Maschine.

Wer sich schützen will, muss daher jetzt zu grundlegenden Abwehrmaßnahmen greifen. Und das kann nur das Updaten auf die neuesten Versionen der Hypervisoren sein. Das generelle Blocken durch eine Firewall von Port 427 (TCP/UDP), den OpenSLP für seine Kommunikation nutzt, kann nicht den direkten Angriff eines Hackers auf eine virtuelle Maschine ausschließen. Es ist zwar die erste Abwehrmaßnahme, verschafft aber keine wirkliche Sicherheit. Und die jetzt beobachteten Angriffswellen sind zudem nur Vorboten für weitere Attacken in diesem Jahr durch erfahrene und fortgeschrittene Gruppen von Cyberkriminellen.“


Martin

Zugec

Bitdefender

Technical Solutions Director

Anzeige

Artikel zu diesem Thema

ESXiArgs-Ransomware: Angriffe nicht erst seit dem Wochenende
Weltweiter Ransomware-Angriff auf VMWare ESXi-Server
Kommunikationsstrategie der Royal Mail nach Ransomware-Attacke
87 Prozent der Container-Images weisen hochriskante Schwachstellen auf

Weitere Artikel

Mehrheit der Bevölkerung hat Cyberattacken erlebt
Warum Passwörter der Vergangenheit angehören sollten
Deepfake-Videos zu Dieter Bohlens Ostheoarthritis
Rekordverdächtiger DDoS-Angriff auf Cloud-Anbieter
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.