{"id":250416,"date":"2021-03-01T11:30:00","date_gmt":"2021-03-01T10:30:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250416"},"modified":"2021-05-10T23:23:20","modified_gmt":"2021-05-10T21:23:20","slug":"massen-scan-auf-angreifbare-vmware-vcenter-instanzen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/01\/massen-scan-auf-angreifbare-vmware-vcenter-instanzen\/","title":{"rendered":"Massen-Scan auf angreifbare VMware vCenter-Instanzen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/03\/01\/massen-scan-auf-angreifbare-vmware-vcenter-instanzen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Falls ihr VMware vCenter-Instanzen administriert, schaut dass diese auf dem aktuellen Patchstand sind. Aktuell scheinen Hacker das Internet nach ungepatchten VMware vCenter-Instanzen zu scannen. Das Ziel: Diese vCenter-Instanzen f\u00fcr eigene Zwecke \u00fcbernehmen &#8211; es drohen also unangenehme \u00dcberraschungen.<\/p>\n<p><!--more--><\/p>\n<h2>Kritische Schwachstellen im vSphere<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/49b8fc9daa0b4e9b8f6b94067daec6a3\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte vor einigen Tagen im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/02\/24\/vmware-fixt-kritische-rce-schwachstelle-im-vsphere-html5-client\/\">VMware fixt kritische RCE-Schwachstellen im vSphere HTML5 Client<\/a> auf den Sachverhalt hingewiesen. VMware warnt seine Nutzer vor kritischen RCE-Schwachstellen im vSphere HTML5 Client und weiteren Produkten. Im Sicherheitshinweis <a href=\"https:\/\/web.archive.org\/web\/20210322150329\/https:\/\/www.vmware.com\/security\/advisories\/VMSA-2021-0002.html\" target=\"_blank\" rel=\"noopener\">VMSA-2021-000<\/a> sind die Schwachstellen CVE-2021-21972, CVE-2021-21973, CVE-2021-21974 in folgenden Produkten aufgef\u00fchrt:<\/p>\n<ul>\n<li>VMware ESXi<\/li>\n<li>VMware vCenter Server (vCenter Server)<\/li>\n<li>VMware Cloud Foundation (Cloud Foundation)<\/li>\n<\/ul>\n<p>Diese Schwachstellen werden teilweise mit einem Schweregrad von 9,8 (bis einer Skala bis 10) aufgef\u00fchrt. F\u00fcr die betroffenen Produkt stehen inzwischen Sicherheitsupdates zur Verf\u00fcgung.<\/p>\n<h2>Warnung vor einem Angriff<\/h2>\n<p>Momentan scheinen Tausende ungepatchte vSphere-Instanzen per Internet erreichbar zu sein. Arstechnica <a href=\"https:\/\/arstechnica.com\/information-technology\/2021\/02\/armed-with-exploits-hackers-on-the-prowl-for-a-critical-vmware-vulnerability\/\" target=\"_blank\" rel=\"noopener\">schreibt hier<\/a>, dass bereits einen Tag nach der VMware Sicherheitswarnung ein <a href=\"https:\/\/github.com\/horizon3ai\/CVE-2021-21972\" target=\"_blank\" rel=\"noopener\">Proof of Concept<\/a> von verschiedenen Quellen verf\u00fcgbar war.<\/p>\n<p><a href=\"https:\/\/twitter.com\/bad_packets\/status\/1364661586070102016\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Scanings of vulnerable VMware vCenter servers\" src=\"https:\/\/i.imgur.com\/Gtym5Ne.png\" alt=\"Scanings of vulnerable VMware vCenter servers\" \/><\/a><\/p>\n<p>Sicherheitsforscher von Bad Packets warnten in obigem <a href=\"https:\/\/twitter.com\/bad_packets\/status\/1364661586070102016\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> bereits am 24. Februar 2021 und schrieben, dass sie Massenscans auf diese Instanzen beobachtet haben. Sicherheitsforscher Troy Mursch von Bad Packets sagt, dass die Suchmaschine BinaryEdge fast 15.000 aus dem Internet erreichbare vCenter-Server gefunden habe. Eine Shodan-Suche ergab etwa 6.700 Treffer. Der Massenscan zielt darauf ab, Server zu identifizieren, die den Patch, den VMware im Februar 2021 ver\u00f6ffentlicht hat, noch nicht installiert haben.<\/p>\n<p>Die Sicherheitsl\u00fccke CVE-2021-21972 erm\u00f6glicht es Hackern, auf verwundbare vCenter-Server, die \u00fcber Port 443 \u00f6ffentlich zug\u00e4nglich sind, Dateien ohne Berechtigung hochzuladen. Das haben Sicherheitsforscher von Tenable herausgefunden. Die Schwachstelle resultiert aus einer fehlenden Authentifizierung im vRealize Operations Plugin, das standardm\u00e4\u00dfig installiert ist. Erfolgreiche Exploits f\u00fchren dazu, dass Hacker uneingeschr\u00e4nkte Rechte zur Remote-Code-Ausf\u00fchrung im zugrunde liegenden Betriebssystem erlangen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Falls ihr VMware vCenter-Instanzen administriert, schaut dass diese auf dem aktuellen Patchstand sind. Aktuell scheinen Hacker das Internet nach ungepatchten VMware vCenter-Instanzen zu scannen. Das Ziel: Diese vCenter-Instanzen f\u00fcr eigene Zwecke \u00fcbernehmen &#8211; es drohen also unangenehme \u00dcberraschungen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,14],"tags":[4328,4299],"class_list":["post-250416","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virtualisierung","tag-sicherheit","tag-virtualisierung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250416","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=250416"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/250416\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=250416"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=250416"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=250416"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}