{"id":254336,"date":"2021-06-05T00:11:00","date_gmt":"2021-06-04T22:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=254336"},"modified":"2021-06-04T23:48:06","modified_gmt":"2021-06-04T21:48:06","slug":"angriffe-auf-vmware-vcenter-server-proof-of-concept-verfgbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/05\/angriffe-auf-vmware-vcenter-server-proof-of-concept-verfgbar\/","title":{"rendered":"Angriffe auf VMware vCenter-Server, Proof of Concept verfügbar"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ende Mai hatte ich im Beitrag Schwachstelle CVE-2021-21985 in vSphere-Client, patchen!<\/a> \u00fcber eine Schwachstelle CVE-2021-21985 im VMware vSphere-Client berichtet und zum Patchen aufgefordert. Nun ist nicht nur ein Proof of Concept (PoC) \u00f6ffentlich geworden. Angreifer scannen auch das Internet nach unpatchten VMware vCenter-Server-Instanzen.<\/p>\n

<\/p>\n

\"\"Sicherheitsanbieter Tenable weist in nachfolgendem Tweet<\/a> auf diese Angriffe auf VMware vSphere-Client hin, bei denen die Schwachstelle CVE-2021-21985 ausgenutzt wird.<\/p>\n

<\/a><\/p>\n

CVE-2021-21985 erm\u00f6glicht eine Remotecodeausf\u00fchrung im vSphere-Client \u00fcber das Plugin \"Virtual SAN (vSAN) Health Check\", das standardm\u00e4\u00dfig aktiviert ist. Dieser Sicherheitsanf\u00e4lligkeit wurde ein CVSSv3-Score von 9.8 zugewiesen (kritische Schwachstelle). Die Ausnutzung ist m\u00f6glich, wenn ein Angreifer in der Lage ist, \u00fcber Port 443 auf vCenter Server zuzugreifen. Hat ein Unternehmen seine vCenter Server nicht \u00f6ffentlich zug\u00e4nglich gemacht, k\u00f6nnten Angreifer diese Schwachstelle ausnutzen, sobald sie sich in einem Netzwerk befinden. VMware weist ausdr\u00fccklich darauf hin, dass Ransomware-Gruppen geschickt darin sind, Schwachstellen wie diese nach einer Kompromittierung auszunutzen, nachdem sie sich \u00fcber andere Mittel wie Spearphishing Zugang zu einem Netzwerk verschafft haben. Eine erfolgreiche Ausnutzung w\u00fcrde einem Angreifer die M\u00f6glichkeit geben, beliebige Befehle auf dem zugrunde liegenden vCenter-Host auszuf\u00fchren.<\/p>\n

Kevin Beaumont weist in diesem Tweet<\/a> darauf hin, dass ein \u00f6ffentlicher Proof of Concept (POC), der funktioniert, verf\u00fcgbar ist. Zudem schreibt er: Mass scanning activity detected from 104.40.252.159 checking for VMware vSphere hosts vulnerable to remote code execution (CVE-2021-21985). <\/em>Einer seiner Honeypots konnte eine Infektion \u00fcber die genannte Schwachstelle verzeichnen. Die Kollegen von Bleeping Computer weisen in nachfolgendem Tweet<\/a> ebenfalls auf das Thema hin und haben diesen Artikel<\/a> mit weiteren Informationen ver\u00f6ffentlicht.<\/p>\n

<\/a><\/p>\n

Wer also VMware vCenter-Server betreibt, sollte sicherstellen, dass die Instanzen gepatcht sind. Andernfalls d\u00fcrfte bald eine Ransomware-Infektion drohen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ende Mai hatte ich im Beitrag Schwachstelle CVE-2021-21985 in vSphere-Client, patchen! \u00fcber eine Schwachstelle CVE-2021-21985 im VMware vSphere-Client berichtet und zum Patchen aufgefordert. Nun ist nicht nur ein Proof of Concept (PoC) \u00f6ffentlich geworden. Angreifer scannen auch das Internet nach … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,14],"tags":[4328,4299],"class_list":["post-254336","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virtualisierung","tag-sicherheit","tag-virtualisierung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254336","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=254336"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254336\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=254336"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=254336"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=254336"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}