Diskussion löst Umdenken bei VMware aus

VMware ESXi Hypervisor und die Sicherheit

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Eine seit April laufende, neue Angriffswelle gegen VMware ESXi-Server hat zu heftiger Kritik von Security-Anbietern - vor allem CrowdStrike - geführt. Sie sehen zusätzlichen Schutzbedarf und möglicherweise gibt VMware seine ablehnende Haltung in der Frage bald auf.
 
  • Was VMware zu den Vorwürfen sagt
  • Was Angreifer am ESXi Hypervisor interessiert
  • Was andere Security-Anbieter sagen
Kommt ESXi ohne zusätzliche Schutz-Software aus? VMware glaubte bisher fest daran. Kritik von Security-Anbieter wie CrowdStrike könnte nun ein Umdenken anstoßen.
Kommt ESXi ohne zusätzliche Schutz-Software aus? VMware glaubte bisher fest daran. Kritik von Security-Anbieter wie CrowdStrike könnte nun ein Umdenken anstoßen.
Foto: Andrey_Popov - shutterstock.com

Die Fronten sind klar: VMware sieht beim Einsatz seines ESXi Hypervisor ausdrücklich keinen Bedarf für zusätzliche Antivirus-Software und unterstützt deren Einsatz daher auch nicht. Security-Anbieter CrowdStrike sieht den Verzicht und die mangelnde Unterstützung für zusätzliche Security-Software dagegen als schweren Fehler und wirft VMware in einem aktuellen Blog-Beitrag sogar vor, damit Angreifern die Türen zu öffnen.

Update, 16. Mai 2023, 10 Uhr 15: VMware hat den von CrowdStrike und anderen Anbietern kritisierten Beitrag in seiner Knowledgebase gestern am Abend aktualisiert. Dort heißt es jetzt: "The information contained in this article is outdated and should be considered deprecated. This article is expected to be updated in the future with current information." Für aktuellere Informationen wird zudem auf eine im Februar 2023 anlässlich der damals für Aufsehen sorgenden Angriffe gegebene Empfehlung verwiesen.

VMware hat einen Knowledgebase-Artikel von 2020, in dem es zusätzliche Sicherheits-Software für ESXi ablehnte, am 15. Mai 2023 als "veraltet" eingestuft und neue Informationen angekündigt.
VMware hat einen Knowledgebase-Artikel von 2020, in dem es zusätzliche Sicherheits-Software für ESXi ablehnte, am 15. Mai 2023 als "veraltet" eingestuft und neue Informationen angekündigt.

Update 17. Mai 2023, 12 Uhr 15: Außerdem hat VMware - nachdem es auf Anfrage von ChannelPartner zunächst ausweichend antwortete - noch eine zweite Stellungnahme nachgereicht. Björn Brundert, Principal Technologist bei VMware erklärt darin: "Unser Sicherheitszentrum bietet spezielle Anleitungen zur Absicherung von vSphere-Umgebungen und zum Schutz vor Ransomware, einschließlich unserer ESXiargs Response. Wie im CrowdStrike-Bericht erwähnt, verschaffen sich Anwender von Ransomware einen ersten Zugang, indem sie bekannte Schwachstellen in ungepatchter Software und andere Lücken in der Sicherheitsstrategie ausnutzen. Sie haben es auf Produkte abgesehen, die das Ende des allgemeinen Supports erreicht haben oder veraltet sind und bei denen Schwachstellen noch Jahre nach ihrer Behebung und Offenlegung durch VMware ungepatched bleiben. Die wichtigsten Erkenntnisse sind, dass das Thema Sicherheitsvorsorge wichtiger denn je ist und dass Kunden eine sichere und vertrauenswürdige ESX-Umgebung implementieren können, indem sie die Best Practices für Sicherheit von VMware befolgen."

Auf den früheren Hinweis, dass sich Kunden darüber im Klaren sein sollten, "dass EDR- und Antivirenlösungen in keiner Weise ein Ersatz für grundlegende Sicherheitspraktiken wie das Patchen bekannter Schwachstellen sind", verzichtet Brundert in seiner aktualisirten Stellungnahme. Das könngte, muss man aber nicht als Zugeständis an die Security-Software-Branche sehen. (Update Ende)

CrowdStrike beobachte seit 2020 zunehmend gezielte Attacken auf große Unternehmen, bei denen Angreifer Linux-Versionen von Ransomware-Tools einsetzen, die speziell darauf ausgelegt sind, VMWares Hypervisor ESXi vSphere anzugreifen. Darüber hat CrowdStrike bereits mehrfach berichtet. Aktuell hat der Security-Anbieter seine Erkenntnisse zu einer neuen Ransomware-as-a-Service-Gruppe veröffentlicht, die unter dem Namen "MichaelKors" agiert (eigentlich der Name eines US-amerikanischen Mode-Designers). Sie wurde auch schon unter dem Namen "Qilin" beschrieben.

Die Gruppe attackiert laut CrowdStrike seit April 2023 gezielt VMWare ESXi-Server: "Bedrohungsakteure - von skrupellosen E-Crime-Gruppen bis hin zu hochentwickelten Nationalstaaten wie dem Iran und Nordkorea - haben alle erkannt, wie anfällig ESXi ist, und versuchen weiterhin, diese Umgebung zu infiltrieren", warnt CrowdStrike. VMWares Hinweis, "antivirus software is not required with the vSphere Hypervisor and the use of such software is not supported", stelle daher ein großes Problem dar. Denn immer mehr Unternehmen verlagern Workloads und Infrastrukturen in Cloud-Umgebungen und nutzen dabei den VMWare Hypervisor.

"Sehr attraktives Ziel für moderne Angreifer"

Im ersten Quartal 2023 habe sich der von CrowdStrike beobachtete Trend fortgesetzt: Ransomware-as-a-service-Plattformen wie Alphv, Lockbit und Defray (die CrowdStrike in seiner Datenbank als ALPHA SPIDER, BITWISE SPIDER and SPRITE SPIDER führt), seien verstärkt eingesetzt worden, um ESXi anzugreifen. Die hohe Verbreitung und die ausdrückliche Weigerung von VMware, zusätzliche Sicherheits-Software zu unterstützen, machten den Hypervisor zu einem "sehr attraktiven Ziel für moderne Angreifer", warnt CrowdStrike.

Schlimmer macht das Ganze noch, dass ESXi einige Sicherheitslücken aufweist, die sich ausnutzen lassen. Im Februar 2023 hat etwa das französische CERT eine Ransomware-Kampagne identifiziert (ESXiArgs). Die folgende Warnung hat auch das BSI aufgegriffen (PDF). Die Angreifer zielten dabei auf die Ausnutzung der als CVE-2020-3992 und CVE-2021-21974 katalogisierten Sicherheitslücken. Beide stecken im OpenSLP Service des ESXi Hypervisors.

Was Angreifer am ESXi Hypervisor interessiert

Für die Lücke CVE-2021-21974 hatte VMware bereits im Februar 2021 einen Patch bereitgestellt. Dennoch verursachten die Angriffe erhebliche Schäden und lösten deutliche Kritik an VMware aus. CrowdStrike glaubt jedoch, dass das nur der Anfang war. VMware-Umgebungen seien für Angreifer sehr attraktiv, weil sie weit verbreitet und oft eine Schlüsselkomponente der IT der Anwenderfirmen sind.

"Immer mehr Bedrohungsakteure merken, dass der Mangel an Security-Tools, an adäquater Netzwerksegmentierung für ESXi-Schnittstellen und die bekannte Sicherheitslücken für ESXi eine an Angriffszielen reiche Umgebung schaffen", erklärt CrowdStrike. Das im April beobachtete Ransomware-as-a-Service-Programm "MichaelKors" oder die "Nevada"-Ransomware (laut Zscaler eine weitere Variante der Nokoyawa-Ransomware) seien vermutlich nur der Anfang.

Was andere Security-Anbieter sagen

VMware verwies auf Anfrage von CannelPartner zunächst auf die bereits im Februar anlässlich der ESXiArgs-Ransomware ausgesprochenen Empfehlungen. "VMware fordert Kunden dazu auf, ihre virtuelle Infrastruktur zu härten, und wir bieten Anleitungen dazu, wie sie Software ohne Ausfallzeiten aktualisieren und ihre Bereitstellungen besser konfigurieren können, um sich vor Malware-Bedrohungen zu schützen, die auf die virtuelle Infrastruktur abzielen."

"Aus unserer Sicht ist es nicht empfehlenswert, eine virtuelle Umgebung ohne Drittanbieterschutz zu betreiben", sagt Michael Schröder, Manager of Security Business Strategy DACH bei Eset Deutschland.
"Aus unserer Sicht ist es nicht empfehlenswert, eine virtuelle Umgebung ohne Drittanbieterschutz zu betreiben", sagt Michael Schröder, Manager of Security Business Strategy DACH bei Eset Deutschland.
Foto: ESET

VMware empfielt Unternehmen, "ein Identitätszugriffsmanagement durchzusetzen, die Sicherheitsarchitektur zu modernisieren und andere Maßnahmen für die Widerstandsfähigkeit gegen Ransomware anzuwenden, die in unserem Ransomware Resource Center verfügbar sind." Außerdem versorge man Kunden mit Seucrity Advisories jeweils mit den neuesten Informationen zu verfügbaren Updates. (Anmerkung der Red.: Inzwischen wurde diese Empfehlung um die im Update oben beschriebenen Aussagen ergänzt.)

Security-Experten wie Rüdiger Trost von WithSecure halten es ebenfalls nicht für sinnvoll, auf dem Hypervisor selbst Security-Software laufen zu lassen. Schließlich handele sich um ein gehärtetes System, welches nur die virtuellen Umgebungen laufen lassen kann. Innerhalb der virtuellen Maschinen benötige man aber sehr wohl EPP und EDR, denn hier habe man es mit den "ganz normalen" Problemen und Sicherheitslücken zu tun.

"Vor dem Hintergrund der vorhandenen und immer wieder auftretenden Schwachstellen im VMWare-Umfeld ist es aus unserer Sicht nicht empfehlenswert, eine virtuelle Umgebung ohne Drittanbieterschutz zu betreiben", sagt dagegen Michael Schröder, Manager of Security Business Strategy DACH bei Eset Deutschland. "Die Möglichkeiten, Remote-Code auf den Systemen auszuführen oder die Privilegien zu erweitern, schaffen durchaus eine fruchtbare Grundlage für Cyberkriminelle. Insbesondere die am 8. Februar 2023 durch das BSI herausgegebene Warnung zum CVE-2021-21974 betreffend "OpenSLP Service"-Schwachstelle sollte Warnung genug sein."

„Selbstverständlich würden wir es begrüßen, wenn VMWare die Installation von Agenten unterstützt – wir können unseren Kunden aber auch jetzt schon Alternativen anbieten", sagt Richard Werner, Business Consultant bei Trend Micro.
„Selbstverständlich würden wir es begrüßen, wenn VMWare die Installation von Agenten unterstützt – wir können unseren Kunden aber auch jetzt schon Alternativen anbieten", sagt Richard Werner, Business Consultant bei Trend Micro.
Foto: Trend Micro

"Dass man auf einem ESXi-Server keinen Endpoint-Schutz installieren kann, ist keine Neuigkeit", ordnet Richard Werner, Business Consultant bei Trend Micro, zunächst einmal ein. Er gibt aber auch zu bedenken: "Bislang wurde das in der IT-Security-Gemeinschaft jedoch nicht thematisiert, weil es keine bekannten Angriffe auf das System gab. Das hat sich nun geändert und damit ist die Frage nach einem Schutz relevant geworden."

Laut Werner konnten die bislang bekannten Angriffe mithilfe von Netzwerktechnologie gut abgewehrt werden. "Auch anhand solcher Beispiele zeigt es sich wieder, dass man im Rahmen der Security nicht nur eindimensional denken sollte, sondern verschiedene Ansatzpunkte betrachten muss", sagt Werner. "Selbstverständlich würden wir es begrüßen, wenn VMware die Installation von Agenten unterstützt – wir können unseren Kunden aber auch jetzt schon Alternativen anbieten. Die Tatsache, dass manche Endpoints einfach nicht durch Agenten geschützt werden können, gehört leider aber zum Alltag in Unternehmen."

Zur Startseite