Laut dem BSI – Bundesamt für Sicherheit in der Informationstechnik wurden bei einem weltweit breit gestreuten Angriff tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und viele auch verschlüsselt.
Die regionalen Schwerpunkte der Angriffe auf die VMware ESXi-Server lagen dabei auf Frankreich, den USA, Deutschland und Kanada – auch weitere Länder sind betroffen. Die Täter machten sich eine länger bekannte Schwachstelle im OpenSLP Service der Anwendung zu Nutze, bei der ein “Heap Overflow” angestoßen und dadurch letztendlich Code aus der Ferne ausgeführt werden kann. Inzwischen gibt es ein Tool um die die mit ESXiArgs-Ransomware verschlüsselten Server je nach Konstellation von VMware-Version und Patches wiederherzustellen: das ESXiArgs-Recover-Tool.
2 Jahre alte 8.8 Hoch-Sicherheitslücke
Die Sicherheitslücke selbst – die als CVE-2021-21974 geführt und nach CVSS mit einem Schweregrad von 8.8 als “hoch” bewertet wird – gibt es bereits seit Februar 2021 einen Patch des Herstellers. Auf das BSI hatte bereits damals auf die kritische Schwachstelle hingewiesen. Laut BSI sind konkrete Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden noch nicht möglich. Das BSI analysiert diesen IT-Sicherheitsvorfall intensiv und steht im Austausch mit seinen internationalen Partnern.
Bereits am Wochenende wurden besonders italienische Unternehmen stark von der Attacke getroffen. Laut diverser Medien soll auch die Telekom Italia TIM von der Attacke betroffen sein. Teilweise wäre die Internetleistung im ganzen Land für kurze Zeit eingebrochen. Aber auch andere Länder und viele Unternehmen haben weiterhin Probleme. Bereits 2021 gab es Exploits die nach der Lücke in ESXi-Server suchten und Schad-Software ausführten.
Bereits über 1.900 infizierte ESXi-Server
Für viele Administratoren kommt das Update zu spät, den ihre VMware-ESXi-Server sind bereits von einer Ransomware verschlüsselt. Unternehmen, die diese Lücke immer noch haben und noch nicht entdeckt wurden, sollte sofort die Server patchen. Laut Check Point sind bereits mehr als 1.900 ESXi-Server infiziert sein, wobei die meisten Opfer von OVH und Hetzner Service Providern stammen sollen. Auch CERT, die französische Cybersecurity-Behörde, hat bereits eine Warnung an alle Unternehmen und Serverbetreiber herausgegeben. Die Sicherheitsanweisung zum patchen der Schwachstelle und die Beschreibung der anfälligen Systeme steht bei VMware bereit
Mehr zum Server-Update bei VMware.com