Die Fronten sind klar: VMware sieht beim Einsatz seines ESXi Hypervisor ausdrücklich keinen Bedarf für zusätzliche Antivirus-Software und unterstützt deren Einsatz daher auch nicht. Security-Anbieter CrowdStrike sieht den Verzicht und die mangelnde Unterstützung für zusätzliche Security-Software dagegen als schweren Fehler und wirft VMware in einem aktuellen Blog-Beitrag sogar vor, damit Angreifern die Türen zu öffnen.
Update, 16. Mai 2023, 10 Uhr 15: VMware hat den von CrowdStrike und anderen Anbietern kritisierten Beitrag in seiner Knowledgebase gestern am Abend aktualisiert. Dort heißt es jetzt: "The information contained in this article is outdated and should be considered deprecated. This article is expected to be updated in the future with current information." Für aktuellere Informationen wird zudem auf eine im Februar 2023 anlässlich der damals für Aufsehen sorgenden Angriffe gegebene Empfehlung verwiesen.
Update 17. Mai 2023, 12 Uhr 15: Außerdem hat VMware - nachdem es auf Anfrage von ChannelPartner zunächst ausweichend antwortete - noch eine zweite Stellungnahme nachgereicht. Björn Brundert, Principal Technologist bei VMware erklärt darin: "Unser Sicherheitszentrum bietet spezielle Anleitungen zur Absicherung von vSphere-Umgebungen und zum Schutz vor Ransomware, einschließlich unserer ESXiargs Response. Wie im CrowdStrike-Bericht erwähnt, verschaffen sich Anwender von Ransomware einen ersten Zugang, indem sie bekannte Schwachstellen in ungepatchter Software und andere Lücken in der Sicherheitsstrategie ausnutzen. Sie haben es auf Produkte abgesehen, die das Ende des allgemeinen Supports erreicht haben oder veraltet sind und bei denen Schwachstellen noch Jahre nach ihrer Behebung und Offenlegung durch VMware ungepatched bleiben. Die wichtigsten Erkenntnisse sind, dass das Thema Sicherheitsvorsorge wichtiger denn je ist und dass Kunden eine sichere und vertrauenswürdige ESX-Umgebung implementieren können, indem sie die Best Practices für Sicherheit von VMware befolgen."
Auf den früheren Hinweis, dass sich Kunden darüber im Klaren sein sollten, "dass EDR- und Antivirenlösungen in keiner Weise ein Ersatz für grundlegende Sicherheitspraktiken wie das Patchen bekannter Schwachstellen sind", verzichtet Brundert in seiner aktualisirten Stellungnahme. Das könngte, muss man aber nicht als Zugeständis an die Security-Software-Branche sehen. (Update Ende)
CrowdStrike beobachte seit 2020 zunehmend gezielte Attacken auf große Unternehmen, bei denen Angreifer Linux-Versionen von Ransomware-Tools einsetzen, die speziell darauf ausgelegt sind, VMWares Hypervisor ESXi vSphere anzugreifen. Darüber hat CrowdStrike bereits mehrfach berichtet. Aktuell hat der Security-Anbieter seine Erkenntnisse zu einer neuen Ransomware-as-a-Service-Gruppe veröffentlicht, die unter dem Namen "MichaelKors" agiert (eigentlich der Name eines US-amerikanischen Mode-Designers). Sie wurde auch schon unter dem Namen "Qilin" beschrieben.
Die Gruppe attackiert laut CrowdStrike seit April 2023 gezielt VMWare ESXi-Server: "Bedrohungsakteure - von skrupellosen E-Crime-Gruppen bis hin zu hochentwickelten Nationalstaaten wie dem Iran und Nordkorea - haben alle erkannt, wie anfällig ESXi ist, und versuchen weiterhin, diese Umgebung zu infiltrieren", warnt CrowdStrike. VMWares Hinweis, "antivirus software is not required with the vSphere Hypervisor and the use of such software is not supported", stelle daher ein großes Problem dar. Denn immer mehr Unternehmen verlagern Workloads und Infrastrukturen in Cloud-Umgebungen und nutzen dabei den VMWare Hypervisor.
"Sehr attraktives Ziel für moderne Angreifer"
Im ersten Quartal 2023 habe sich der von CrowdStrike beobachtete Trend fortgesetzt: Ransomware-as-a-service-Plattformen wie Alphv, Lockbit und Defray (die CrowdStrike in seiner Datenbank als ALPHA SPIDER, BITWISE SPIDER and SPRITE SPIDER führt), seien verstärkt eingesetzt worden, um ESXi anzugreifen. Die hohe Verbreitung und die ausdrückliche Weigerung von VMware, zusätzliche Sicherheits-Software zu unterstützen, machten den Hypervisor zu einem "sehr attraktiven Ziel für moderne Angreifer", warnt CrowdStrike.
Schlimmer macht das Ganze noch, dass ESXi einige Sicherheitslücken aufweist, die sich ausnutzen lassen. Im Februar 2023 hat etwa das französische CERT eine Ransomware-Kampagne identifiziert (ESXiArgs). Die folgende Warnung hat auch das BSI aufgegriffen (PDF). Die Angreifer zielten dabei auf die Ausnutzung der als CVE-2020-3992 und CVE-2021-21974 katalogisierten Sicherheitslücken. Beide stecken im OpenSLP Service des ESXi Hypervisors.
Was Angreifer am ESXi Hypervisor interessiert
Für die Lücke CVE-2021-21974 hatte VMware bereits im Februar 2021 einen Patch bereitgestellt. Dennoch verursachten die Angriffe erhebliche Schäden und lösten deutliche Kritik an VMware aus. CrowdStrike glaubt jedoch, dass das nur der Anfang war. VMware-Umgebungen seien für Angreifer sehr attraktiv, weil sie weit verbreitet und oft eine Schlüsselkomponente der IT der Anwenderfirmen sind.
"Immer mehr Bedrohungsakteure merken, dass der Mangel an Security-Tools, an adäquater Netzwerksegmentierung für ESXi-Schnittstellen und die bekannte Sicherheitslücken für ESXi eine an Angriffszielen reiche Umgebung schaffen", erklärt CrowdStrike. Das im April beobachtete Ransomware-as-a-Service-Programm "MichaelKors" oder die "Nevada"-Ransomware (laut Zscaler eine weitere Variante der Nokoyawa-Ransomware) seien vermutlich nur der Anfang.
Was andere Security-Anbieter sagen
VMware verwies auf Anfrage von CannelPartner zunächst auf die bereits im Februar anlässlich der ESXiArgs-Ransomware ausgesprochenen Empfehlungen. "VMware fordert Kunden dazu auf, ihre virtuelle Infrastruktur zu härten, und wir bieten Anleitungen dazu, wie sie Software ohne Ausfallzeiten aktualisieren und ihre Bereitstellungen besser konfigurieren können, um sich vor Malware-Bedrohungen zu schützen, die auf die virtuelle Infrastruktur abzielen."
VMware empfielt Unternehmen, "ein Identitätszugriffsmanagement durchzusetzen, die Sicherheitsarchitektur zu modernisieren und andere Maßnahmen für die Widerstandsfähigkeit gegen Ransomware anzuwenden, die in unserem Ransomware Resource Center verfügbar sind." Außerdem versorge man Kunden mit Seucrity Advisories jeweils mit den neuesten Informationen zu verfügbaren Updates. (Anmerkung der Red.: Inzwischen wurde diese Empfehlung um die im Update oben beschriebenen Aussagen ergänzt.)
Security-Experten wie Rüdiger Trost von WithSecure halten es ebenfalls nicht für sinnvoll, auf dem Hypervisor selbst Security-Software laufen zu lassen. Schließlich handele sich um ein gehärtetes System, welches nur die virtuellen Umgebungen laufen lassen kann. Innerhalb der virtuellen Maschinen benötige man aber sehr wohl EPP und EDR, denn hier habe man es mit den "ganz normalen" Problemen und Sicherheitslücken zu tun.
"Vor dem Hintergrund der vorhandenen und immer wieder auftretenden Schwachstellen im VMWare-Umfeld ist es aus unserer Sicht nicht empfehlenswert, eine virtuelle Umgebung ohne Drittanbieterschutz zu betreiben", sagt dagegen Michael Schröder, Manager of Security Business Strategy DACH bei Eset Deutschland. "Die Möglichkeiten, Remote-Code auf den Systemen auszuführen oder die Privilegien zu erweitern, schaffen durchaus eine fruchtbare Grundlage für Cyberkriminelle. Insbesondere die am 8. Februar 2023 durch das BSI herausgegebene Warnung zum CVE-2021-21974 betreffend "OpenSLP Service"-Schwachstelle sollte Warnung genug sein."
"Dass man auf einem ESXi-Server keinen Endpoint-Schutz installieren kann, ist keine Neuigkeit", ordnet Richard Werner, Business Consultant bei Trend Micro, zunächst einmal ein. Er gibt aber auch zu bedenken: "Bislang wurde das in der IT-Security-Gemeinschaft jedoch nicht thematisiert, weil es keine bekannten Angriffe auf das System gab. Das hat sich nun geändert und damit ist die Frage nach einem Schutz relevant geworden."
Laut Werner konnten die bislang bekannten Angriffe mithilfe von Netzwerktechnologie gut abgewehrt werden. "Auch anhand solcher Beispiele zeigt es sich wieder, dass man im Rahmen der Security nicht nur eindimensional denken sollte, sondern verschiedene Ansatzpunkte betrachten muss", sagt Werner. "Selbstverständlich würden wir es begrüßen, wenn VMware die Installation von Agenten unterstützt – wir können unseren Kunden aber auch jetzt schon Alternativen anbieten. Die Tatsache, dass manche Endpoints einfach nicht durch Agenten geschützt werden können, gehört leider aber zum Alltag in Unternehmen."