{"id":277630,"date":"2023-02-08T06:39:43","date_gmt":"2023-02-08T05:39:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277630"},"modified":"2023-09-29T13:09:35","modified_gmt":"2023-09-29T11:09:35","slug":"cyberangriffe-auf-server-das-vmware-esxi-debakel-decryptor-fr-esxiargs-ransomware-opfer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/08\/cyberangriffe-auf-server-das-vmware-esxi-debakel-decryptor-fr-esxiargs-ransomware-opfer\/","title":{"rendered":"Cyberangriffe auf Server: Das VMware ESXi-Debakel; &quot;Recovery-Script&quot; f&uuml;r ESXiArgs Ransomware-Opfer"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/02\/08\/cyberattack-debacle-on-vmware-esxi-server-recovery-script-for-esxiargs-ransomware-victims\/\" target=\"_blank\" rel=\"noopener\">Englisch<\/a>]Seit dem Wochenende laufen weltweit Cyberangriffe auf verwundbare ESXi-Server und es gibt wohl eine Reihe Betroffener (in Deutschland soll eine dreistellige Zahl betroffen sein). Die Angreifer nutzen dabei eine bereits 2021 geschlossene Schwachstelle. Cybersicherheitsbeh\u00f6rden weltweit warnen vor dieser Gefahr. Die US-CISA hat jetzt ein Recovery-Script zum Restaurieren der VMs f\u00fcr Opfer der ESXiArgs Ransomware-Opfer ver\u00f6ffentlicht.<\/p>\n<p><!--more--><\/p>\n<h2>Angriffswelle auf ESXi-Server<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/bd1ffc87fff044a1b077cb6d1348e2a2\" alt=\"\" width=\"1\" height=\"1\" \/>Seit dem vergangenen Wochenende wurden weltweit tausende VMware-Server von einem Ransomware-Akteur angegriffen und wohl erfolgreich infiziert. Das franz\u00f6sische CERT-FR hat wohl am 3. Februar 2023 als erstes <a href=\"https:\/\/web.archive.org\/web\/20230708214313\/https:\/\/www.cert.ssi.gouv.fr\/alerte\/CERTFR-2023-ALE-015\/\" target=\"_blank\" rel=\"noopener\">eine Warnung<\/a> herausgegeben. Dort wurden konkret zwei Sicherheitsempfehlungen von VMware aufgegriffen, die zu beachten sind.<\/p>\n<ul>\n<li><a href=\"https:\/\/www.vmware.com\/security\/advisories\/VMSA-2021-0002.html\" target=\"_blank\" rel=\"noopener\">VMSA-2021-0002<\/a> vom 23. Januar 2021 beschreibt mehrere Sicherheitsl\u00fccken in VMware ESXi und vCenter Server, die durch Updates geschlossen wurden. Mit dabei die ESXi OpenSLP Heap-Oerflow-Schwachstelle (<strong>CVE-2021-21974<\/strong>) mit einem CVSSv3 Wert von 8.8. VMware empfahl seinerzeit, den OpenSLP-Dienst in ESXi zu deaktivieren, wenn er nicht verwendet wird.<\/li>\n<li><a href=\"https:\/\/www.vmware.com\/security\/advisories\/VMSA-2020-0023.html\" target=\"_blank\" rel=\"noopener\">VMSA-2020-0023<\/a> vom 24. November 2020 beschreibt mehrere Sicherheitsl\u00fccken, u.a.\u00a0 in VMware ESXi-Server. Dort wurde eine ESXi OpenSLP Remote Code Execution-Schwachstelle (<strong>CVE-2020-3992<\/strong>, use-after-free) thematisiert (CVSSv3-Wert von 9.8). Ein b\u00f6swilliger Akteur, der sich im Verwaltungsnetzwerk befindet und Zugriff auf Port 427 auf einem ESXi-Rechner hat, kann m\u00f6glicherweise eine Use-after-free-Funktion im OpenSLP-Dienst ausl\u00f6sen, die zu einer Remotecodeausf\u00fchrung f\u00fchrt.<\/li>\n<\/ul>\n<p>Im Anschluss warnen Sicherheitsbeh\u00f6rden weltweit vor dieser Cyberangriffswelle, die auf VMwares ESXi-Server abzielt. Letzten Sonntag hat die italienische Cyber-Sicherheitsbeh\u00f6rde ACN vor der Angriffswelle auf Unternehmen und Beh\u00f6rden gewarnt (siehe z.B. <a href=\"https:\/\/www.spiegel.de\/netzwelt\/web\/tausende-server-offenbar-weltweit-ziel-von-hacker-angriff-a-c5aae06a-de3d-408e-bdd6-845e56e4aa89\" target=\"_blank\" rel=\"noopener\">diesen Spiegel Online-Artikel<\/a>) \u2013 waren dort doch diverse Webseiten mehrerer Organisationen und Institutionen lahm gelegt worden.<\/p>\n<p>Inzwischen ist bekannt, dass weltweit tausende ESXi-Server erfolgreich angegriffen und mit Ransomware infiziert wurden. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/06\/sicherheitsvorflle-und-patch-erinnerungen-fr-vmware-administratoren-6-feb-2023\/\">Sicherheitsvorf\u00e4lle und Patch-Erinnerungen f\u00fcr VMware-Administratoren (6. Feb. 2023)<\/a> vom 6. Februar 2023 auf die stattfindenden Infektionen hingewiesen und nachfolgenden Tweet eingebunden.<\/p>\n<p><img decoding=\"async\" title=\"Kompromittierte VMware ESXi-Server\" src=\"https:\/\/i.imgur.com\/VYvYhcH.png\" alt=\"Kompromittierte VMware ESXi-Server\" \/><\/p>\n<p>Eine Liste betroffener VMware ESXi-Versionen findet sich <a href=\"https:\/\/raw.githubusercontent.com\/CronUp\/EnAnalisis\/main\/2023-02-03_Ransomware_VMwareESXi_Versions\" target=\"_blank\" rel=\"noopener\">hier<\/a>. Mit Datum vom 6. Februar 2023 gibt es auch von VMware den Blog-Beitrag <a href=\"https:\/\/blogs.vmware.com\/security\/2023\/02\/83330.html\" target=\"_blank\" rel=\"noopener\">VMware Security Response Center (vSRC) Response to 'ESXiArgs' Ransomware Attacks<\/a>, in der der Hersteller angibt, keine Kenntnis \u00fcber eine neue 0-day-Schwachstelle als Einfallsvektor f\u00fcr die Angriffe zu haben.<\/p>\n<p>Das BSI schreibt in seiner <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2023\/2023-205338-1032.html\" target=\"_blank\" rel=\"noopener\">Warnung vom 7. Februar 2023<\/a> (siehe mein Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/06\/cyberangriffe-auf-rechtsanwlte-kapellmann-geomed-klinik-gerolzhofen-angriffe-auf-esxi-server\/\">Cyberangriffe auf Rechtsanw\u00e4lte Kap<\/a>), dass die regionalen Schwerpunkte der Angriffe auf Frankreich, den USA, Deutschland und Kanada lagen, bleibt sonst aber vage. Ich habe mal gesucht, die Sicherheitsfirma Census listet <a href=\"https:\/\/web.archive.org\/web\/20230530134045\/https:\/\/search.censys.io\/search?resource=hosts&amp;sort=RELEVANCE&amp;per_page=25&amp;virtual_hosts=EXCLUDE&amp;q=services.http.response.body%3A+%22How+to+Restore+Your+Files%22+and+services.http.response.html_title%3A%22How+to+Restore+Your+Files%22&amp;cursor=eyJBZnRlciI6WyI4OS43ODE4MTUiLCJTeGpRcE5mU1orOVJlcEJnOENoTTJRPT0iXSwiUmV2ZXJzZSI6ZmFsc2UsIlNlZWQiOjB9\" target=\"_blank\" rel=\"noopener\">hier<\/a> kompromittierte Server auf &#8211; nachfolgend einige Zahlen.<\/p>\n<ul>\n<li>Frankreich: 738<\/li>\n<li>USA: 308<\/li>\n<li>Deutschland: 243<\/li>\n<li>Kanada: 211<\/li>\n<li>Gro\u00dfbritannien: 78<\/li>\n<\/ul>\n<p>Insgesamt ist von mindestens 3.200 kompromittierten ESXi-Servern weltweit die Rede (laut <a href=\"http:\/\/gist.github.com\/cablej\/c79102960c4615396e8ffc712136744a\" target=\"_blank\" rel=\"noopener\">dieser Bitcoin-Liste<\/a> sind es aber nur 2.803 Server). In obiger BSI-Warnung hei\u00dft es, dass die Schwachstelle CVE-2021-21974 im OpenSLP Service des ESXi-Servers als Einfallstor ausgenutzt wurde. Bei den derzeit betroffenen Systemen handelt es sich um ESXi-Hypervisoren der Version 6.x vor 6.7. Eine <a href=\"https:\/\/darkfeed.io\/2023\/02\/04\/a-new-ransomware-attack-is-spreading-like-crazy\/\" target=\"_blank\" rel=\"noopener\">Warnung des Cybersicherheitsanbieters DarkFeed<\/a> vom 4. Februar 2023 besagt laut <a href=\"https:\/\/www.csoonline.com\/article\/3687095\/massive-ransomware-attack-targets-vmware-esxi-servers-worldwide.html\" target=\"_blank\" rel=\"noopener\">dieser Quelle<\/a>, dass die meisten Server, die in Frankreich und Deutschland betroffen waren, von den Hosting-Anbietern OVHcloud bzw. Hetzner gehostet wurden. Auf betroffenen Systemen werden die Konfigurationsdateien, nicht aber die virtuellen VMDK-Laufwerke, verschl\u00fcsselt und die Opfer finden folgenden Text vor:<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/J8y1YyY.png\" \/><\/p>\n<p>Im Forum von Bleeping Computer gibt es <a href=\"https:\/\/www.bleepingcomputer.com\/forums\/t\/782193\/esxi-ransomware-help-and-support-topic-esxiargs-args-extension\/\" target=\"_blank\" rel=\"noopener\">diesen Diskussionsthread<\/a>, gestartet am 3. Feb. 2023, wo Opfer die Infektion und die Folgen diskutieren. Dort entnehme ich, dass die VMDKs nicht verschl\u00fcsselt wurden und es sich wohl um die relativ neue Nevada Ransomware zu handeln scheint. Die Kollegen von Bleeping Computer haben in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/cisa-releases-recovery-script-for-esxiargs-ransomware-victims\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> noch einige Details zu den verschl\u00fcsselten Dateien zusammen getragen.<\/p>\n<h2>Warum wurde nicht gepatcht?<\/h2>\n<p>Es bleibt die Frage, warum die ESXi-Server per Internet erreichbar und nach Jahren immer noch ungepatcht waren. Tenable sieht eine \"Patchm\u00fcdigkeit\" in Unternehmen, so dass der aktuelle Vorfall als der bisher gr\u00f6\u00dfte Angriff auf nicht Windows-Systeme (es waren ja ESXi-Server) gilt. Bernard Montel, EMEA Technical Director and Security Strategist, Tenable schreibt dazu: \"Die traurige Wahrheit ist, dass bekannte Schwachstellen, f\u00fcr die ein Exploit zur Verf\u00fcgung steht, oft nicht gepatcht werden. Dies bringt Unternehmen in eine unglaubliche Gefahr, erfolgreich infiltriert zu werden. In diesem Fall, bei der zwei Jahre alten VMware-Schwachstelle, ist die Bedrohung angesichts der aktiven Ausnutzung immens.<\/p>\n<p>Virtualisierung ist das Herzst\u00fcck der Cloud-Strategie der meisten Unternehmen \u2013 ob On-Premises, Public- oder Hybrid-Cloud, wobei der Hypervisor das R\u00fcckgrat der IT bildet. Angreifer wissen, dass sie auf diese Ebene zielen k\u00f6nnen, um ihre Privilegien zu erh\u00f6hen und Zugang zu allem zu erhalten. Wenn sie in der Lage sind, sich Zugang zu verschaffen, k\u00f6nnen sie Malware einschleusen, um die Hypervisor-Ebene zu infiltrieren und eine Masseninfektion zu verursachen.\" Die Administratoren in Unternehmen sind darauf angewiesen, sicherzustellen dass die Systeme auf dem aktuellen Patchstand sind.<\/p>\n<h2>VMs manuell wiederherstellen<\/h2>\n<p>Laut <a href=\"https:\/\/darkfeed.io\/2023\/02\/04\/a-new-ransomware-attack-is-spreading-like-crazy\/\" target=\"_blank\" rel=\"noopener\">Darkfeed<\/a> behauptet der Sicherheitsforscher Habib Karata\u015f, dass die Verschl\u00fcsselung des Datentr\u00e4gers auf die falsche Art und Weise erfolgt. Darkfeed gibt im Beitrag Schritte an, um die verschl\u00fcsselte und gel\u00f6schte config-Datei wiederherzustellen. Die beiden Sicherheitsforscher Enes Sonmez und Ahmet Aykac vom YoreGroup Tech Team haben <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/cisa-releases-recovery-script-for-esxiargs-ransomware-victims\/\" target=\"_blank\" rel=\"noopener\">in diesem Beitrag einen Ansatz beschrieben<\/a>, mit der virtuelle Maschinen aus unverschl\u00fcsselten Flat Files wiederhergestellt werden k\u00f6nnen. Allerdings ist der Ansatz recht aufw\u00e4ndig.<\/p>\n<h2>CISA ver\u00f6ffentliche Recovery-Script<\/h2>\n<p>Um die Benutzer bei der Wiederherstellung ihrer Server zu unterst\u00fctzen, hat die CISA ein <a href=\"https:\/\/github.com\/cisagov\/ESXiArgs-Recover\/blob\/main\/recover.sh\" target=\"_blank\" rel=\"noopener\">ESXiArgs-Recovery-Script auf GitHub<\/a> ver\u00f6ffentlicht, das den Wiederherstellungsprozess automatisiert. Die Kollegen von Bleeping Computer haben gerade in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/cisa-releases-recovery-script-for-esxiargs-ransomware-victims\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> dar\u00fcber berichtet. Die CISA schreibt:<\/p>\n<blockquote><p>\"Die CISA ist sich bewusst, dass einige Organisationen \u00fcber Erfolge bei der Wiederherstellung von Dateien ohne L\u00f6segeldzahlung berichtet haben. Die CISA hat dieses Tool auf der Grundlage \u00f6ffentlich zug\u00e4nglicher Ressourcen zusammengestellt, darunter <a href=\"http:\/\/enes.dev\/\" target=\"_blank\" rel=\"noopener\">ein Tutorial<\/a> von Enes Sonmez und Ahmet Aykac.<\/p>\n<p>Dieses Tool funktioniert, indem es die Metadaten virtueller Maschinen von virtuellen Festplatten rekonstruiert, die nicht von der Malware verschl\u00fcsselt wurden.\"<\/p><\/blockquote>\n<p>Die obige Erkl\u00e4rung und die Schritte zur Anwendung des Scripts zur Wiederherstellung von VMs sind auf der <a href=\"https:\/\/github.com\/cisagov\/ESXiArgs-Recover\" target=\"_blank\" rel=\"noopener\">GitHub-Projektseite<\/a> zu finden. Das Skript wird auf eigene Gefahr angewendet &#8211; man sollte sich also ansehen, was es macht und ggf. auf einem Testsystem ausf\u00fchren. Wenn das Script erfolgreich ausgef\u00fchrt werden konnte, l\u00e4sst sich\u00a0 die virtuelle Maschine anschlie\u00dfend erneut in VMware ESXi registrieren.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/02\/06\/sicherheitsvorflle-und-patch-erinnerungen-fr-vmware-administratoren-6-feb-2023\/\">Sicherheitsvorf\u00e4lle und Patch-Erinnerungen f\u00fcr VMware-Administratoren (6. Feb. 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/02\/06\/cyberangriffe-auf-rechtsanwlte-kapellmann-geomed-klinik-gerolzhofen-angriffe-auf-esxi-server\/\">Cyberangriffe auf Rechtsanw\u00e4lte Kapellmann, Geomed-Klinik Gerolzhofen; Angriffe auf ESXi-Server<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[Englisch]Seit dem Wochenende laufen weltweit Cyberangriffe auf verwundbare ESXi-Server und es gibt wohl eine Reihe Betroffener (in Deutschland soll eine dreistellige Zahl betroffen sein). Die Angreifer nutzen dabei eine bereits 2021 geschlossene Schwachstelle. Cybersicherheitsbeh\u00f6rden weltweit warnen vor dieser Gefahr. Die &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/08\/cyberangriffe-auf-server-das-vmware-esxi-debakel-decryptor-fr-esxiargs-ransomware-opfer\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-277630","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277630","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277630"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277630\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277630"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277630"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277630"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}