ESXi-Server werden häufig in kritischen Infrastrukturen eingesetzt
Ransomware-Angriff zielt auf VMware ESXi-Server weltweit
Die als CVE-2021-21974 verfolgte Sicherheitslücke wird durch einen Heap-Überlauf im OpenSLP-Dienst verursacht
Von Chris Dobrec, VP Product & Industry Solutions bei Armis
Seit dem 3. Februar 2023 zielen Angreifer aktiv auf VMware ESXi-Server ab, die nicht gegen eine zwei Jahre alte Sicherheitslücke für Remotecode-Ausführung gepatcht waren, um eine neue ESXiArgs-Ransomware zu installieren. Laut einem Bericht bei BleepingComputer meldeten sich darauf zahlreiche betroffene Administratoren in deren Forum. Die Angreifer nutzen eine Schwachstelle, um sich Zugang zu den Servern zu verschaffen, und verschlüsseln dann die auf ihnen gehosteten virtuellen Maschinen.
Sie verlangen eine Lösegeldzahlung für die Entschlüsselung der Daten. Der Angriff scheint von einer gut finanzierten und organisierten Gruppe durchgeführt zu werden und ist sehr effektiv, da ESXi-Server häufig in kritischen Infrastrukturen eingesetzt werden und schwer abzusichern sind.
Die als CVE-2021-21974 verfolgte Sicherheitslücke wird durch einen Heap-Überlauf im OpenSLP-Dienst verursacht, der von nicht authentifizierten Bedrohungsakteuren in Angriffen mit geringem Schwierigkeitsgrad ausgenutzt werden kann. Um eingehende Angriffe zu blockieren, müssen Administratoren den anfälligen Service Location Protocol (SLP)-Dienst auf ESXi-Hypervisoren, die noch nicht aktualisiert wurden, deaktivieren.
CVE-2021-21974 betrifft die folgenden Systeme:
>> ESXi-Versionen 7.x vor ESXi70U1c-17325551
>> ESXi-Versionen 6.7.x vor ESXi670-202102401-SG
>> ESXi-Versionen 6.5.x vor ESXi650-202102101-SG
In Fällen, in denen das Patchen von CVE-2021-21974 Zeit in Anspruch nehmen wird, ist zu beachten, dass VMware auch Workarounds veröffentlicht hat, um das Risiko einer Ausnutzung zu verringern: https://kb.vmware.com/s/article/76372 . (Armis: ra)
eingetragen: 10.02.23
Newsletterlauf: 19.04.23
Armis: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.