Sicherheitslücke CVE-2021-21974

Was sich aus dem Angriff auf VMware ESXi lernen lässt

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Bei einem Angriff auf VMwares Virtualisierungslösung ESXi wurden Tausende Server mit Ransomware infiziert und verschlüsselt. Unvermeidbar war das nicht, sagen IT-Secuity-Experten.
Die Sicherheitslücke CVE-2021-21974 wird mit einem Schweregrad von 9.8 als "hoch" eingestuft und derzeit für Ransomware--Angriffe ausgenutzt.
Die Sicherheitslücke CVE-2021-21974 wird mit einem Schweregrad von 9.8 als "hoch" eingestuft und derzeit für Ransomware--Angriffe ausgenutzt.
Foto: Andrey_Popov - shutterstock.com

Die Angriffe auf eine längst bekannte Schwachstelle im OpenSLP Service des ESXi-Servers von VMware trafen vor allem Anwender in Frankreich, den USA, Kanada, Finnland, Italien und Deutschland. Die Angreifer haben dabei laut BSI einen "Heap Overflow" (Pufferüberlauf) angestoßen und konnten so letztlich Code aus der Ferne ausführen.

Die Sicherheitslücke CVE-2021-21974 wird mit einem Schweregrad von 9.8 als "hoch" eingestuft (auf einer Skala bis 10). Betroffen sind Server, auf denen ESXi in den Versionen 6.5.x, 6.7.x sowie 7.x läuft. Einen Patch hatte VMware bereits im Februar 2021 bereitgestellt. Dennoch verursachten die Angriffe auch in Deutschland erhebliche Schäden.

Rüdiger Trost, Head of Cyber Security Solutions bei WithSecure, erklärte gegenüber der dpa, weltweit würden etwa 84.000 Server mit der betroffenen Software betrieben, in Deutschland etwa 7000. Welche davon noch verwundbar seien, lasse sich aber nicht sagen.

 Die Angreifer haben erkannt, wie wichtig Linux-Server für die Systeme von Institutionen und Organisationen sind", kommentiert Lothar Geuenich, Vice President Central Europe und DACH bei Check Point Software, die aktuellen Angriffe auf EXXi-Server von VMware.
Die Angreifer haben erkannt, wie wichtig Linux-Server für die Systeme von Institutionen und Organisationen sind", kommentiert Lothar Geuenich, Vice President Central Europe und DACH bei Check Point Software, die aktuellen Angriffe auf EXXi-Server von VMware.
Foto: Check Point Software Technologies

Lothar Geuenich, Vice President Central Europe und DACH bei Check Point Software, weist ebenso wie WithSecure-Experte Trost darauf hin, dass es eine Besonderheit des Angriffs ist, dass er Maschinen betrifft, die nicht mit Windows als Betriebssystem arbeiten. Es sei zugleich "einer der umfangreichsten Cyberangriffe, die jemals auf Nicht-Windows-Maschinen gemeldet wurden."

Geuenich kommentiert: "Was die Situation noch besorgniserregender macht, ist die Tatsache, dass Ransomware-Angriffe bis vor kurzem auf Windows-basierte Rechner beschränkt waren. Die Angreifer haben erkannt, wie wichtig Linux-Server für die Systeme von Institutionen und Organisationen sind.

Da auf einem ESXi-Server in der Regel mehrere virtuelle Server laufen, sei der Schaden wahrscheinlich "weitreichender, als wir uns vorstellen können", mutmaßt Geuenich. Möglicherweise seien einige der Ausfälle in den vergangenen Tagen bereist darauf zurückzuführen.

Der Angriff hat mit bekannten Angriffen auf Windows-System dennoch einiges gemeinsam. Er erfolgte zum Wochenende (wenn IT-Abteilungen schwächer oder gar nicht besetzt sind) und richtet sich gegen Systeme, die eine lange bekannte Sicherheitslücke nicht gepatcht sind. "Auf erfolgreich angegriffenen Systemen wird die Nevada-Ransomware installiert, die unter anderem die virtuellen Festplatten der Gastsysteme verschlüsselt (Dateiendungen *vmdk, *vmx, *vmsd und andere)", erklärt Tim Berghoff, Security Evangelist bei G Data CyberDefense.

„Diese aktuelle Angriffswelle zeigt wieder einmal, wie wichtig es ist, Patches zu installieren. Auch eine alte Sicherheitslücke kann zum Problem werden – manchmal auch erst Jahre später, wie in diesem Falle", sagt Tim Berghoff, Security Evangelist bei G Data CyberDefense.
„Diese aktuelle Angriffswelle zeigt wieder einmal, wie wichtig es ist, Patches zu installieren. Auch eine alte Sicherheitslücke kann zum Problem werden – manchmal auch erst Jahre später, wie in diesem Falle", sagt Tim Berghoff, Security Evangelist bei G Data CyberDefense.
Foto: G Data Cyberdefense

"Wer bisher die Patches nicht installiert hat, sollte hier schnellstens aktiv werden. Um Angriffe zumindest vorerst zu blocken, wird empfohlen, das SLP-Protokoll auf ungepatchten Hypervisor-Systemen zu deaktivieren." Dazu sind einige Kommandos in der Shell erforderlich. Sie erklärt VMware in seiner Knowledge Base.

Berghoff rät Firmen, zudem nach IoC (Indicators of Compromise) zu suchen, auch wenn es keine erkennbaren Zeichen eines Angriffs gibt. Stefan van der Wal, Consulting Solutions Engineer EMEA für Application Security bei Barracuda Networks, empfiehlt ebenfalls einen vollständigen Security-Scan der Server, um sicherzustellen, dass sie nicht kompromittiert wurden." Der Angriff zeige, "wie wichtig es ist, kritische Software-Infrastruktursysteme absolut zeitnah zu aktualisieren."

„Um die virtuelle Infrastruktur vollständig zu schützen, ist es unabdingbar, sie vom restlichen Unternehmensnetzwerk zu trennen, idealerweise im Rahmen eines Zero-Trust-Ansatzes“, empfiehlt Stefan van der Wal, Consulting Solutions Engineer EMEA für Application Security bei Barracuda Networks.
„Um die virtuelle Infrastruktur vollständig zu schützen, ist es unabdingbar, sie vom restlichen Unternehmensnetzwerk zu trennen, idealerweise im Rahmen eines Zero-Trust-Ansatzes“, empfiehlt Stefan van der Wal, Consulting Solutions Engineer EMEA für Application Security bei Barracuda Networks.
Foto: Barracuda Networks

Allerdings weist van der Wal auch darauf hin, das es für Unternehmen nicht immer einfach ist, Software zu aktualisieren. "Im Falle dieses Patches beispielsweise müssen Unternehmen vorübergehend wesentliche Teile ihrer IT-Infrastruktur deaktivieren." Allerdings sei es weitaus besser, diese geplante Unterbrechung in Kauf zu nehmen, als von einem Angriff getroffen zu werden.

Als vorbeugende Maßnahmen empfiehlt van der Wal sicherzustellen, dass der Zugriff auf die Verwaltungskonsole virtueller Systeme geschützt ist und beispielsweise nicht einfach über ein kompromittiertes Konto im Unternehmensnetzwerk erfolgen kann. "Um die virtuelle Infrastruktur vollständig zu schützen, ist es unabdingbar, sie vom restlichen Unternehmensnetzwerk zu trennen, idealerweise im Rahmen eines Zero-Trust-Ansatzes."

"Der Hypervisor bildet das Rückgrat der IT. Angreifer wissen, dass sie auf diese Ebene zielen können, um ihre Privilegien zu erhöhen und Zugang zu allem zu erhalten", want Bernard Montel, EMEA Technical Director and Security Strategist bei Tenable
"Der Hypervisor bildet das Rückgrat der IT. Angreifer wissen, dass sie auf diese Ebene zielen können, um ihre Privilegien zu erhöhen und Zugang zu allem zu erhalten", want Bernard Montel, EMEA Technical Director and Security Strategist bei Tenable
Foto: Tenable

Bernard Montel, EMEA Technical Director and Security Strategist bei Tenable, legt den Finger in dieselbe Wunde. "Für viele Unternehmen stellt sich die Frage nach der Betriebszeit im Vergleich zur Frage, ob ein System zum Patchen offline genommen werden sollte. In diesem Fall könnte die Rechnung nicht einfacher sein - ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen."

Virtualisierung bezeichnet Montel als "das Herzstück der Cloud-Strategie der meisten Unternehmen - ob On-Premises, Public- oder Hybrid-Cloud, wobei der Hypervisor das Rückgrat der IT bildet. Angreifer wissen, dass sie auf diese Ebene zielen können, um ihre Privilegien zu erhöhen und Zugang zu allem zu erhalten."

Eine Voraussetzung für schnelles Patchen, umfassenden Schutz und Kontrolle der Zugangsberechtigungen ist jedoch, dass Firmen überhaupt wissen, was in ihren Netzwerken alles vorhanden ist. Vielen Unternehmen fehlt es jedoch an einer Übersicht und Kategorisierung ihrer IT-Assets. Das belegt zum Beispiel der "The State of Cyberwarfare and Trends Report 2022-2023" von Armis. Demnach hatten nur 27 Prozent der Befragten aus Deutschland, Österreich und der Schweiz in ihren Firmen in ein Asset-Management investiert.

Dan Schiappa, Chief Product Officer bei Arctic Wolf, empfiehlt Unternehmen, "mit Experten zusammenzuarbeiten, um die richtige Technologie zu identifizieren, Mitarbeitende in der richtigen Anwendung zu schulen und die aktuelle Sicherheitslage ständig zu überprüfen."
Dan Schiappa, Chief Product Officer bei Arctic Wolf, empfiehlt Unternehmen, "mit Experten zusammenzuarbeiten, um die richtige Technologie zu identifizieren, Mitarbeitende in der richtigen Anwendung zu schulen und die aktuelle Sicherheitslage ständig zu überprüfen."
Foto: Arctic Wolf

Dan Schiappa, Chief Product Officer bei Arctic Wolf, mahnt, dass sich Bedrohungsakteure längst nicht mehr nur auf "große Fische" konzentrieren, sondern Organisationen aller Größenordnungen ins Visier - und dies insbesondere über bekannte Schwachstellen. "Daher ist es für Unternehmen so wichtig wie nie, die Grundlagen ihrer Cybersicherheit richtig zu gestalten, zum Beispiel durch konsequentes und regelmäßiges Patching."

Unternehmen empfiehlt Schiappa zudem, "mit Experten zusammenzuarbeiten, um die richtige Technologie zu identifizieren, Mitarbeitende in der richtigen Anwendung zu schulen und die aktuelle Sicherheitslage ständig zu überprüfen." So könnten sie sicherstellen, dass gut gerüstet sind, um auf neue Bedrohungen zu reagieren und sich zu schützen. Zudem seien Notfallpläne von entscheidender Bedeutung, damit Unternehmen im Falle eines Falles den Betrieb aufrechterhalten können.

Mehr zum Thema

Sechs gängige Fehlannahmen zu Cybersecurity

"Kunden sind viel schlechter vorbereitet, als sie denken"

Tausend Schwachstellen in Microsoft-Produkten

iSCM-Analyse Cyber-Security 2022

Nur erkannte Gefahren lassen sich bannen

Zur Startseite