Aktive Angriffe auf die VMWare ESXi Sicherheitslücke: Was Unternehmen jetzt tun sollten

Eine bekannte Sicherheitslücke in VMWare ESXi, die bereits 2021 behoben wurde, wird aktuell wieder angegriffen. Für Unternehmen, die damals nicht den Patch installiert haben, ist jetzt schnelles Handeln gefragt.

ACN und internationale Behörden melden Angriffe

Die italienische Cybersicherheitsbehörde ACN und weitere internationale Stellen wie in Frankreich, Großbritannien, den USA und Kanada warnen vor einer Hackergruppe. Diese nutzt die seit zwei Jahren bekannte Lücke in VMWare ESXi aktiv aus.

Die VMWare ESXi Sicherheitslücke CVE-2021-21972

Obwohl die genaue aktive Sicherheitslücke, die von der Hackergruppe ausgenutzt wird, von ACN nicht spezifiziert wurde, deutet vieles auf CVE-2021-21972 hin. Diese Lücke war im Februar 2021 geschlossen worden und war zu diesem Zeitpunkt schon seit einem Jahr bekannt.

Die Gefahr hinter der Sicherheitslücke

Sicherheitsforscher Mikhail Klyuchnikov hat herausgefunden, dass diese Sicherheitslücke unautorisierte Anfragen an das Webpanel des vSphere-Clients ermöglicht. VMWare’s VSXi, als Hypervisor von vSphere, ist damit direkt betroffen. Angreifer können Dateien des Systems manipulieren. Hinzu kommt, dass vSphere im Standard aus dem Web erreichbar ist, wodurch der Dienst ständig gefährdet ist. Hacker müssen nur nach nicht aktualisierten Systemen suchen, um Zugang zu erhalten.

Frei verfügbares Exploit

Erschwerend kommt hinzu, dass auf Github ein kostenfreies Exploit verfügbar ist, was den Angriff noch erleichtert.

Die Wichtigkeit des Patchens und Diagnose

Nur den Patch aufzuspielen reicht nicht aus. Bei betroffenen Systemen muss eine umfangreiche Diagnose und Schutzmaßnahmen durchgeführt werden, um sicherzustellen, dass kein Schadcode zurückgelassen wurde.

Quellen:

Möchten Sie Ihr Unternehmen vor solchen Sicherheitslücken schützen? Testen Sie jetzt kostenlos unsere Lösungen!