[English]Ende Mai hatte ich im Beitrag Schwachstelle CVE-2021-21985 in vSphere-Client, patchen! über eine Schwachstelle CVE-2021-21985 im VMware vSphere-Client berichtet und zum Patchen aufgefordert. Nun ist nicht nur ein Proof of Concept (PoC) öffentlich geworden. Angreifer scannen auch das Internet nach unpatchten VMware vCenter-Server-Instanzen.
Anzeige
Sicherheitsanbieter Tenable weist in nachfolgendem Tweet auf diese Angriffe auf VMware vSphere-Client hin, bei denen die Schwachstelle CVE-2021-21985 ausgenutzt wird.
CVE-2021-21985 ermöglicht eine Remotecodeausführung im vSphere-Client über das Plugin "Virtual SAN (vSAN) Health Check", das standardmäßig aktiviert ist. Dieser Sicherheitsanfälligkeit wurde ein CVSSv3-Score von 9.8 zugewiesen (kritische Schwachstelle). Die Ausnutzung ist möglich, wenn ein Angreifer in der Lage ist, über Port 443 auf vCenter Server zuzugreifen. Hat ein Unternehmen seine vCenter Server nicht öffentlich zugänglich gemacht, könnten Angreifer diese Schwachstelle ausnutzen, sobald sie sich in einem Netzwerk befinden. VMware weist ausdrücklich darauf hin, dass Ransomware-Gruppen geschickt darin sind, Schwachstellen wie diese nach einer Kompromittierung auszunutzen, nachdem sie sich über andere Mittel wie Spearphishing Zugang zu einem Netzwerk verschafft haben. Eine erfolgreiche Ausnutzung würde einem Angreifer die Möglichkeit geben, beliebige Befehle auf dem zugrunde liegenden vCenter-Host auszuführen.
Kevin Beaumont weist in diesem Tweet darauf hin, dass ein öffentlicher Proof of Concept (POC), der funktioniert, verfügbar ist. Zudem schreibt er: Mass scanning activity detected from 104.40.252.159 checking for VMware vSphere hosts vulnerable to remote code execution (CVE-2021-21985). Einer seiner Honeypots konnte eine Infektion über die genannte Schwachstelle verzeichnen. Die Kollegen von Bleeping Computer weisen in nachfolgendem Tweet ebenfalls auf das Thema hin und haben diesen Artikel mit weiteren Informationen veröffentlicht.
Anzeige
Wer also VMware vCenter-Server betreibt, sollte sicherstellen, dass die Instanzen gepatcht sind. Andernfalls dürfte bald eine Ransomware-Infektion drohen.
Anzeige
Wer stellt sein V-Center ins Internet? Einmal mit Profis…
… als ob Schadsoftware sich nicht auch per VPN verbreiten kann. Profis müssten das wissen.
Profis haben gerade gelernt, dass die Ransomware-Angriffe auf Colonia Pipeline in den USA über einen nicht benutzen RDP-Zugang (deren Zugangsdaten im Darknet gekauft wurden) erfolgte. Aber ab dan sind die Ramsomwarer immer dankbar für weitere Lücken – und sei es nur als Fingerübung ;-).
Dazu muss die Schadsoftware ja erstmal auf ein System im VPN laufen. Aber da kann man es ihr ja noch sehr schwer machen, dort überhaupt zu laufen, durch Antivirus, lokale Firewall, Applocker und weiteres.
Es begab sich zu einer Zeit, als in einem familiengeführten Chemiespezialbetrieb der studierte IT-Doktor nur mittels LinuX administrieren konnte und wollte und der dann im Sinne des Fortschritts eingestellte Windows-Systemadministrator auf sogenannte VLANs und deren Vorzüge hinwies im Rahmen seines Hauptschulabschlusses und dieser, bis heute, dafür belächelt und als Aluhutträger von den Vorgesetzten betituliert wird.
Nun verhält es sich also in diesem Chemiespezialbetrieb so, das ein jeder Depp, der ne IP erlangen kann, auch ans VCENTER ran kommt…und EVOLA…aber was weiß ein Hauptschüler schon!
Mit solchen Bastlern habe ich kein Mitleid.