{"id":278404,"date":"2023-03-04T00:06:00","date_gmt":"2023-03-03T23:06:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278404"},"modified":"2023-09-08T01:26:22","modified_gmt":"2023-09-07T23:26:22","slug":"rckblick-auf-das-cyberdebakel-bei-vmware-esxi-servern-feb-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/04\/rckblick-auf-das-cyberdebakel-bei-vmware-esxi-servern-feb-2023\/","title":{"rendered":"R&uuml;ckblick auf das Cyberdebakel bei VMware ESXi-Servern (Feb. 2023)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=28945\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kurzer R\u00fcckblick auf den Februar 2023 &#8211; seit Anfang des Jahres wurden zahlreiche VMware ESXi-Server \u00fcber eine bekannte und l\u00e4ngst geschlossene Schwachstelle gekapert. Dies VMware-ESXi-L\u00fccke hat ein gewaltiges Gef\u00e4hrdungspotenzial und es gibt wohl immer noch Tausende ungepatchte Systeme. Hier nochmals ein kurzer \u00dcberblick.<\/p>\n<p><!--more--><\/p>\n<h2>Angriffswelle auf ESXi-Server<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/225949656d54400b86acc79d59e1e621\" alt=\"\" width=\"1\" height=\"1\" \/>Seit Ende Januar 2023 wurden weltweit tausende VMware-Server von einem Ransomware-Akteur erfolgreich angegriffen. Das franz\u00f6sische CERT-FR hatte zum 3. Februar 2023 als erstes <a href=\"https:\/\/web.archive.org\/web\/20230708214313\/https:\/\/www.cert.ssi.gouv.fr\/alerte\/CERTFR-2023-ALE-015\/\" target=\"_blank\" rel=\"noopener\">eine Warnung<\/a> herausgegeben und zwei Schwachstellen angesprochen, f\u00fcr die VMware l\u00e4ngst Sicherheitsupdates bereitstellt. Hier die relevanten VMware Sicherheitsempfehlungen.<\/p>\n<ul>\n<li><a href=\"https:\/\/www.vmware.com\/security\/advisories\/VMSA-2021-0002.html\" target=\"_blank\" rel=\"noopener\">VMSA-2021-0002<\/a> vom 23. Januar 2021 beschreibt mehrere Sicherheitsl\u00fccken in VMware ESXi und vCenter Server, die durch Updates geschlossen wurden. Mit dabei die ESXi OpenSLP Heap-Oerflow-Schwachstelle (<strong>CVE-2021-21974<\/strong>) mit einem CVSSv3 Wert von 8.8. VMware empfahl seinerzeit, den OpenSLP-Dienst in ESXi zu deaktivieren, wenn er nicht verwendet wird.<\/li>\n<li><a href=\"https:\/\/www.vmware.com\/security\/advisories\/VMSA-2020-0023.html\" target=\"_blank\" rel=\"noopener\">VMSA-2020-0023<\/a> vom 24. November 2020 beschreibt mehrere Sicherheitsl\u00fccken, u.a.\u00a0 in VMware ESXi-Server. Dort wurde eine ESXi OpenSLP Remote Code Execution-Schwachstelle (<strong>CVE-2020-3992<\/strong>, use-after-free) thematisiert (CVSSv3-Wert von 9.8). Ein b\u00f6swilliger Akteur, der sich im Verwaltungsnetzwerk befindet und Zugriff auf Port 427 auf einem ESXi-Rechner hat, kann m\u00f6glicherweise eine Use-after-free-Funktion im OpenSLP-Dienst ausl\u00f6sen, die zu einer Remotecodeausf\u00fchrung f\u00fchrt.<\/li>\n<\/ul>\n<p>Inzwischen ist bekannt, dass weltweit tausende ESXi-Server erfolgreich angegriffen und mit Ransomware infiziert wurden. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/06\/sicherheitsvorflle-und-patch-erinnerungen-fr-vmware-administratoren-6-feb-2023\/\">Sicherheitsvorf\u00e4lle und Patch-Erinnerungen f\u00fcr VMware-Administratoren (6. Feb. 2023)<\/a> vom 6. Februar 2023 auf die stattfindenden Infektionen hingewiesen. Sicherheitsbeh\u00f6rden weltweit\u00a0 warnten vor dieser Cyberangriffswelle, die auf VMwares ESXi-Server abzielt. Der Fall zeigt, dass nachl\u00e4ssig gewartete Software-Systeme eine potentielle Gefahr darstellen, dass Firmen Opfer von Cyberangriffen werden.<\/p>\n<h2>Ungepatchte VMware ESXi-Server als Risiko<\/h2>\n<p>Die Tage ist mir nachfolgender Tweet unter die Augen gekommen &#8211; die Schweizer Cyber-Sicherheitsbeh\u00f6rde sieht in den Cyberangriffen auf ESXi-Server ein Risiko, welches Auswirkungen auf die gesamte Bev\u00f6lkerung haben und zu nationalen oder sogar globalen St\u00f6rungen f\u00fchren k\u00f6nnte.<\/p>\n<p><img decoding=\"async\" title=\"VMware ESXi vulnearabiltiy\" src=\"https:\/\/i.imgur.com\/Jw7xsnc.png\" alt=\"VMware ESXi vulnearabiltiy\" \/><\/p>\n<p>Der Beitrag ist <a href=\"https:\/\/www.swisscybersecurity.net\/cybersecurity\/2023-02-06\/italienische-behoerden-warnen-vor-weltweiten-ransomware-angriffen\" target=\"_blank\" rel=\"noopener\">hier<\/a> abrufbar. Auch Bitdefender warnte vor dieser Sicherheitsbedrohung.\u00a0 Martin Zugec, Technical Solutions Director bei Bitdefender, meint dazu:<\/p>\n<blockquote><p><em>Die Attacken auf die VMware-ESXi-Hypervisoren, welche mit wenig Aufwand die j\u00fcngst [GB: j\u00fcngst hei\u00dft in diesem Kontext 2021] bekannt gewordene <\/em><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-21974\" target=\"_blank\" rel=\"noopener\">CVE-2021-21974<\/a><em>-Schwachstelle ausnutzen, um die verschiedensten Payloads als Remote Code auszuspielen, haben ein enormes Verbreitungspotenzial. Sie entwickeln sich daher zu Massen-Attacken f\u00fcr opportunistisch vorgehende Cyberkriminelle und sind ein aktuelles Beispiel f\u00fcr hybride Angriffe: In der ersten Phase gehen die Hacker automatisiert vor, um dann Suchergebnisse auszuwerten und in der zweiten Phase h\u00e4ndisch den gezielten Angriff weiter auszuspielen. Es ist zu erwarten, dass viele Nutzer die L\u00fccke f\u00fcr Supply-Chain-Attacken nutzen werden, um das eigentlich avisierte Unternehmen \u00fcber seine Zulieferer anzugreifen. <\/em><\/p>\n<p><em>[&#8230;]\u00a0 Das zahlenm\u00e4\u00dfige Potential betroffener Systeme ist aber enorm. Laut den Suchergebnissen des offen bereitstehenden und auch von Hackern benutzten Shodan-Tools geht die Zahl der Nutzer eines VMware-ESXi-Hosts in die Zehntausende. Vor allem von den alten Versionen vor ESXi 7.0 sind bis zu 60.000 Hosts im Internet sichtbar. <\/em><\/p><\/blockquote>\n<p><img decoding=\"async\" title=\"ESXi-Server in Shodan\" src=\"https:\/\/i.imgur.com\/lMiodeG.png\" alt=\"ESXi-Server in Shodan\" \/><\/p>\n<blockquote><p><em>Erst ab der Version 7.0 wird der OpenSLP-Dienst, der die Sicherheitsl\u00fccke erschlie\u00dft, per Default deaktiviert. OpenSLP ist zudem ein ideales Einfalltor f\u00fcr die \u00dcbernahme von Hypervisoren nach dem Kapern einer beliebigen virtuellen Maschine.<br \/>\n<\/em><\/p>\n<p><em>Wer sich sch\u00fctzen will, muss daher jetzt zu grundlegenden Abwehrma\u00dfnahmen greifen. Und das kann nur das Updaten auf die neuesten Versionen der Hypervisoren sein. Das generelle Blocken <\/em><em>durch eine Firewall <\/em><em>von Port 427 (TCP\/UDP), den OpenSLP f\u00fcr seine Kommunikation nutzt, kann nicht den direkten Angriff eines Hackers auf eine virtuelle Maschine ausschlie\u00dfen. Es ist zwar die erste Abwehrma\u00dfnahme, verschafft aber keine wirkliche Sicherheit. Und die jetzt beobachteten Angriffswellen sind zudem nur Vorboten f\u00fcr weitere Attacken in diesem Jahr durch erfahrene und fortgeschrittene Gruppen von Cyberkriminellen.\"<\/em><\/p><\/blockquote>\n<p>Problem werden halt weiterhin die ungepatchten und wohl auch nicht mehr gewarteten ESXi-Installationen sein.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/02\/08\/cyberangriffe-auf-server-das-vmware-esxi-debakel-decryptor-fr-esxiargs-ransomware-opfer\/\">Cyberangriffe auf Server: Das VMware ESXi-Debakel; \"Recovery-Script\" f\u00fcr ESXiArgs Ransomware-Opfer<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/02\/16\/windows-server-2022-februar-2023-patchday-und-des-esxi-vm-secure-boot-problem\/\">Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/02\/22\/windows-server-2022-vmware-patch-fr-secure-boot-problem-feb-2023\/\">Windows Server 2022: VMware ESXi 7.0 U3k-Patch f\u00fcr Secure Boot-Problem (Update KB5022842, Feb. 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurzer R\u00fcckblick auf den Februar 2023 &#8211; seit Anfang des Jahres wurden zahlreiche VMware ESXi-Server \u00fcber eine bekannte und l\u00e4ngst geschlossene Schwachstelle gekapert. Dies VMware-ESXi-L\u00fccke hat ein gewaltiges Gef\u00e4hrdungspotenzial und es gibt wohl immer noch Tausende ungepatchte Systeme. Hier nochmals &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/04\/rckblick-auf-das-cyberdebakel-bei-vmware-esxi-servern-feb-2023\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,14],"tags":[4328,4299],"class_list":["post-278404","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virtualisierung","tag-sicherheit","tag-virtualisierung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278404"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278404\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}