{"id":277543,"date":"2023-02-06T08:52:50","date_gmt":"2023-02-06T07:52:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277543"},"modified":"2023-02-08T05:47:34","modified_gmt":"2023-02-08T04:47:34","slug":"sicherheitsvorflle-und-patch-erinnerungen-fr-vmware-administratoren-6-feb-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/06\/sicherheitsvorflle-und-patch-erinnerungen-fr-vmware-administratoren-6-feb-2023\/","title":{"rendered":"Sicherheitsvorfälle und Patch-Erinnerungen für VMware-Administratoren (6. Feb. 2023)"},"content":{"rendered":"

\"SicherheitHeute noch ein kleiner \u00dcberblick \u00fcber Schwachstellen in VMware-Produkten, die aktuell angegriffen werden, und \/ oder zu denen dringend Sicherheitspatches eingespielt werden sollen. Einerseits laufen mehrere derzeit verschiedene Kampagnen von Cyberangriffen gegen ESXi-Server. Andererseits gibt es von VMware auch Sicherheitsupdate f\u00fcr VMware Workstation, den VMware Player, f\u00fcr VMware Workspace und\u00a0 VMware vRealize Log. Erg\u00e4nzung:<\/strong> Inzwischen warnt CERT-Bund vor der Schwachstelle CVE-2021-21974 in ESXi.<\/p>\n

<\/p>\n

VMware Workstation, Player, Workspace<\/h2>\n

\"\"VMware hat die letzten Tage gleich mehrere Sicherheitsupdates f\u00fcr VMware Workstation, den Player, Workspace und vRealize Log ver\u00f6ffentlicht, um Schwachstellen zu beseitigen.<\/p>\n

Sicherheitsl\u00fccke CVE-2023-20854 in VMware Wokstation\/Player 17.x<\/h3>\n

In der Version 17.x des VMware Workstation und VMware Player gibt es die Schwachstelle CVE-2023-20854<\/a>. Es handelt sich um eine Schwachstelle in Bezug auf das L\u00f6schen beliebiger Dateien (arbitrary file deletion). Ein b\u00f6swilliger Akteur mit lokalen Benutzerrechten auf dem Rechner des Opfers kann diese Sicherheitsl\u00fccke ausnutzen, um beliebige Dateien aus dem Dateisystem des Rechners zu l\u00f6schen, auf dem Workstation installiert ist. Die Schwachstelle hat den CVSSv3-Wert von 7.8 erhalten.<\/p>\n

VMware hat zum 2. Februar 2023 ein Advisory VMSA-2023-0003<\/a> ver\u00f6ffentlicht und ein Update von VMware Workstation 17.01 freigegeben, welches die Schwachstelle schlie\u00dft. Die Release Notes<\/a> geben zudem Bug-Fixes f\u00fcr ein USB-Problem und weiteren Fehlerbehebungen an. Die Kollegen von deskmodder geben hier<\/a> an, dass auch der VMware Player f\u00fcr Windows betroffen sei.<\/p>\n

VMware Workspace angreifbar<\/h3>\n

Auch die Virtualisierungsl\u00f6sung VMware Workspace f\u00fcr Windows ist \u00fcber eine Schwachstelle angreifbar. Eine Angreifer ben\u00f6tigt aber lokale Benutzerrechte auf dem betreffenden System. heise weist in nachfolgendem Tweet und in diesem Artikel<\/a> auf diesen Sachverhalt hin.<\/p>\n

\"VMware<\/a><\/p>\n

Schwachstelle in VMware vRealize Log<\/h3>\n

Sicherheitsforscher haben Sicherheitsl\u00fccken kombiniert und konnten unter vRealize Log von VMware Schadcode mit Root-Rechten ausf\u00fchren, wie heise in nachfolgendem Tweet<\/a> und in diesem Artikel<\/a> ausf\u00fchrt. Auch Bleeping Computer hat das Thema die Tage in diesem Artikel<\/a> aufgegriffen. Sicherheitsupdates zum Schlie\u00dfen der Schwachstelle sind verf\u00fcgbar.<\/p>\n

\"Schwachstelle<\/a><\/p>\n

Angriffe auf VMware ESXi-Server<\/h2>\n

Seit einigen Tagen gibt es Angriffe auf VMware ESXi-Server durch Ransomware-Gruppen. Dabei wurden zwei unterschiedliche Ransomware-Kampagnen\u00a0 berichtet.<\/p>\n

Angriffe durch ESXiArgs Ransomware<\/h3>\n

Nachfolgender Tweet<\/a> weist darauf hin, dass auf Shodan mindestens 115 VMware ESXi-Server gefunden wurden, die kompromittiert wurden. Der Artikel Massive ESXiArgs ransomware attack targets VMware ESXi servers worldwide<\/a> der Kollegen von Bleeping Computer thematisiert diese Angriffe \u00fcber die Sicherheitsl\u00fccke CVE-2021-21974 (Heap-\u00dcberlauf im OpenSLP-Dienst).<\/p>\n

\"Kompromittierte<\/a><\/p>\n

Die Schwachstelle kann von nicht authentifizierten Bedrohungsakteuren f\u00fcr Angriffe mit geringer Komplexit\u00e4t ausgenutzt werden. \"Nach dem derzeitigen Stand der Ermittlungen scheinen diese Angriffskampagnen die Sicherheitsl\u00fccke CVE-2021-21974 auszunutzen, f\u00fcr die seit dem 23. Februar 2021 ein Patch verf\u00fcgbar ist\", schreibt das CERT-FR. Eine Liste betroffener VMware ESXi-Versionen findet sich hier<\/a>.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen gibt es auch eine Warnung von CERT-Bund<\/a> vor der Schwachstelle, die ausgenutzt werde.<\/p>\n

Linux-Variante der Royal Ransomware<\/h3>\n

Weiterhin werden VMware ESXi-Server wohl durch eine Linux-Variante der Royal Ransomware angegriffen. Die neue Linux Royal Ransomware-Variante wurde von Will Thomas vom Equinix Threat Analysis Center (ETAC) entdeckt (siehe folgender Tweet<\/a>)\u00a0 und wird \u00fcber die Kommandozeile ausgef\u00fchrt.<\/p>\n

\"Royal<\/a><\/p>\n

Bleeping Computer berichtet im Artikel Linux version of Royal Ransomware targets VMware ESXi servers<\/a> \u00fcber diesen Fall des Angriffs durch die Linux-Variante der Royal Ransomware.<\/p>\n","protected":false},"excerpt":{"rendered":"

Heute noch ein kleiner \u00dcberblick \u00fcber Schwachstellen in VMware-Produkten, die aktuell angegriffen werden, und \/ oder zu denen dringend Sicherheitspatches eingespielt werden sollen. Einerseits laufen mehrere derzeit verschiedene Kampagnen von Cyberangriffen gegen ESXi-Server. Andererseits gibt es von VMware auch Sicherheitsupdate … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,14],"tags":[4328,4315,4299,16],"class_list":["post-277543","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-virtualisierung","tag-sicherheit","tag-update","tag-virtualisierung","tag-vmware"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277543"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277543\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}