[English]Falls ihr VMware vCenter-Instanzen administriert, schaut dass diese auf dem aktuellen Patchstand sind. Aktuell scheinen Hacker das Internet nach ungepatchten VMware vCenter-Instanzen zu scannen. Das Ziel: Diese vCenter-Instanzen für eigene Zwecke übernehmen – es drohen also unangenehme Überraschungen.
Anzeige
Kritische Schwachstellen im vSphere
Ich hatte vor einigen Tagen im Blog-Beitrag VMware fixt kritische RCE-Schwachstellen im vSphere HTML5 Client auf den Sachverhalt hingewiesen. VMware warnt seine Nutzer vor kritischen RCE-Schwachstellen im vSphere HTML5 Client und weiteren Produkten. Im Sicherheitshinweis VMSA-2021-000 sind die Schwachstellen CVE-2021-21972, CVE-2021-21973, CVE-2021-21974 in folgenden Produkten aufgeführt:
- VMware ESXi
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)
Diese Schwachstellen werden teilweise mit einem Schweregrad von 9,8 (bis einer Skala bis 10) aufgeführt. Für die betroffenen Produkt stehen inzwischen Sicherheitsupdates zur Verfügung.
Warnung vor einem Angriff
Momentan scheinen Tausende ungepatchte vSphere-Instanzen per Internet erreichbar zu sein. Arstechnica schreibt hier, dass bereits einen Tag nach der VMware Sicherheitswarnung ein Proof of Concept von verschiedenen Quellen verfügbar war.
Anzeige
Sicherheitsforscher von Bad Packets warnten in obigem Tweet bereits am 24. Februar 2021 und schrieben, dass sie Massenscans auf diese Instanzen beobachtet haben. Sicherheitsforscher Troy Mursch von Bad Packets sagt, dass die Suchmaschine BinaryEdge fast 15.000 aus dem Internet erreichbare vCenter-Server gefunden habe. Eine Shodan-Suche ergab etwa 6.700 Treffer. Der Massenscan zielt darauf ab, Server zu identifizieren, die den Patch, den VMware im Februar 2021 veröffentlicht hat, noch nicht installiert haben.
Die Sicherheitslücke CVE-2021-21972 ermöglicht es Hackern, auf verwundbare vCenter-Server, die über Port 443 öffentlich zugänglich sind, Dateien ohne Berechtigung hochzuladen. Das haben Sicherheitsforscher von Tenable herausgefunden. Die Schwachstelle resultiert aus einer fehlenden Authentifizierung im vRealize Operations Plugin, das standardmäßig installiert ist. Erfolgreiche Exploits führen dazu, dass Hacker uneingeschränkte Rechte zur Remote-Code-Ausführung im zugrunde liegenden Betriebssystem erlangen.
Anzeige
Das VCenter aus dem Internet erreichbar zu machen, ist grob fahrlässig, egal ob jetzt dieser Fehler vorhanden ist, oder nicht. Das gehört selbst innerhalb eines Intranets so abgeschottet, dass da nur berechtigte Admins dran kommen.
"The Internet is a Dark Forest."
Wie mit Sicherheitslücken heutzutage umgegangen wird, ist einfach unverantwortlich. Sicherheitsupdates müssen binnen Stunden eingespielt werden, sonst steht man nackt im Dschungel da.
https://twitter.com/certbund/status/1323558342242033665
Der dunkle Wald ist eine Metapher für das Prinzip, daß jede Schwachstelle auch jemand finden und ausnutzen wird. Beispiel Bitcoin: Jeder schwache Schlüssel wird irgendwann in der Blockchain von jemand anders entdeckt und die Bitcoins geklaut. Die Metapher geht auf einen chinesischen Science-Fiction-Roman zurück, der in Internet- und Hackerkreisen sehr beliebt ist.
https://en.wikipedia.org/wiki/The_Dark_Forest
Man könnte es auch vergleichen mit dem alten deutschen Spruch: „Gelegenheit macht Diebe." Niemand würde argumentieren: „Warum sollte ich mein Auto abschließen? Die Wahrscheinlichkeit, daß heute ausgerechnet eine Person an meinem Auto vorbeiläuft, die sich für meinen Firmenlaptop interessiert, ist gering."
Dieser Vergleich ist natürlich absurd. Das Risiko bei nicht abgeschlossenen Fahrzeugen ist, daß ein Passant, der das zufällig sieht, es ausnutzen kann. Dasselbe gilt auch für nicht ordentlich gesicherte Systeme am Internet. Irgendeiner, der den Server zufällig sieht, wird Standardpaßwörter und bekannte Sicherheitslücken testen und dann gucken, ob etwas zu holen ist. Oft werden einfach nur massenhaft Zugänge geknackt und dann die Zugangsdaten auf dem Schwarzmarkt weiterverkauft, und so gelangt es am Ende dann doch an die falschen. Auch die Kriminalität ist hochgradig arbeitsteilig. War bei Solarwinds auch so.
Natürlich sind auch die Hersteller in der Pflicht, ihre Updates ordentlich zu testen. Das Risiko, das irgendwas nach dem Update nicht mehr läuft, ist nicht zu unterschätzen, von daher kann man die Schuld hier auf keinen Fall nur beim einzelnen Administrator suchen.
So siehts aus