Kleiner Nachtrag in Sachen Sicherheit. CERT-Bund hat bereits Ende Januar 2026 eine Warnung herausgegeben. Bei einem Internetscan wurden 2.500 VMware ESXi-Server gefunden, die aus Sicherheitsgründen nicht per Internet erreichbar sein sollten. Zudem gibt es aktuell Meldungen, dass VMware ESXi-Server-Instanzen über die alte Schwachstelle CVE-2025-22225 von Ransomware -Gruppen angegriffen werden.
VMware ESXi-Servern im Internet erreichbar
Die Information, die von CERT-Bund auf Mastodon gepostet wurde, lautet, dass CERT-Bund aktuell rund 2.500 offen aus dem Internet erreichbare Management-Schnittstellen von VMware ESXi-Servern in Deutschland bekannt seien.
Das Problem: 60% der Server laufen mit veralteten Versionen, die nicht mehr vom Hersteller unterstützt werden. Weitere 31% laufen mit einer aktuellen Version, aber einem veralteten Patch-Stand. VMware ESXi-Server sollten mit ihrer Management-Schnittstelle grundsätzlich nicht im Internet exponiert werden. Denn diese Instanzen sind angreifbar.
CERT-Bund benachrichtigt deutsche Netzbetreiber seit zwei Jahren zu betroffenen Systemen in ihren Netzen. Aber offenbar kommen diese Benachrichtigungen nicht an, werden nicht gelesen oder nicht verstanden. Golem hatte zeitnah hier zudem eine CISA-Warnung vor der vCenter Server-Schwachstelle CVE-2024-37079 aus 2024 aufgegriffen, die wohl verstärkt angegriffen wird.
Ransomware-Angriffe auf VMware ESXi-Server
Zudem habe ich aktuell bei den Kollegen von Bleeping Computer die Meldung gesehen, dass Ransomware-Angriffe über alte Schwachstellen auf VMware ESXi-Server erfolgen.
Die Kollegen haben eine Warnung der US-Cybersicherheitsbehörde CISA aufgegriffen. Laut CISA haben Ransomware-Gruppen begonnen, die hochgradig kritische Schwachstelle CVE-2025-22225 in VMware ESXi auszunutzen. Diese Schwachstelle, die einen Ausbruch aus der Sandbox ermöglicht, war zuvor in Zero-Day-Angriffen verwendet worden, ist aber seit März 2025 bekannt.
Broadcom hatte zeitnah im März 2025 diesen Sicherheitshinweis veröffentlicht und gleichzeitig die Schwachstellen CVE-2025-22224, CVE-2025-22225 und CVE-2025-22226 in VMware ESXi, Workstation und Fusion durch Updates schlossen. Laut der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) wird CVE-2025-22225 nun in Ransomware-Kampagnen für Angriffe verwendet.
MVP: 2013 – 2016
Und Shodan vermeldet für Deutschland noch immer 5.671 Exchange Server die mit TLS 1.0/1.1 laufen, ganze 352 gar nur mit SSL – Manche lernen nur durch Schmerzen…
In Deutschland:
17 Exchange 2000
144 Exchange 2003
23 Exchange 2007
300 Exchange 2010
790 Exchange 2013
8785 Exchange 2016
7885 Exchange 2019
und nur 2523 Exchange SE.
Aber in anderen Ländern sieht es ähnlich gruselig aus.
Weltweit sind noch über 5000 Exchange 2010 am Netz und über 7000 Exchange 2013.
Also Versionen, die schon seit vielen Jahren keine Updates mehr bekommen und daher als ungepatcht einzustufen sind.