Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnieren Sie unseren NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

vom Newsletter abmelden

Ransomware-Angriff zielt auf VMware ESXi-Server weltweit

Februar 2023 von Chris Dobrec, VP Product & Industry Solutions, Armis

Seit dem 3. Februar 2023 zielen Angreifer aktiv auf VMware ESXi-Server ab, die nicht gegen eine zwei Jahre alte Sicherheitslücke für Remotecodeausführung gepatcht waren, um eine neue ESXiArgs-Ransomware zu installieren.

Chris Dobrec, VP Product & Industry Solutions bei Armis

Laut einem Bericht bei BleepingComputer meldeten sich darauf zahlreiche betroffene Administratoren in deren Forum. Die Angreifer nutzen eine Schwachstelle, um sich Zugang zu den Servern zu verschaffen, und verschlüsseln dann die auf ihnen gehosteten virtuellen Maschinen. Sie verlangen eine Lösegeldzahlung für die Entschlüsselung der Daten. Der Angriff scheint von einer gut finanzierten und organisierten Gruppe durchgeführt zu werden und ist sehr effektiv, da ESXi-Server häufig in kritischen Infrastrukturen eingesetzt werden und schwer abzusichern sind.

Die als CVE-2021-21974 verfolgte Sicherheitslücke wird durch einen Heap-Überlauf im OpenSLP-Dienst verursacht, der von nicht authentifizierten Bedrohungsakteuren in Angriffen mit geringem Schwierigkeitsgrad ausgenutzt werden kann. Um eingehende Angriffe zu blockieren, müssen Administratoren den anfälligen Service Location Protocol (SLP)-Dienst auf ESXi-Hypervisoren, die noch nicht aktualisiert wurden, deaktivieren.

CVE-2021-21974 betrifft die folgenden Systeme:

ESXi-Versionen 7.x vor ESXi70U1c-17325551
ESXi-Versionen 6.7.x vor ESXi670-202102401-SG
ESXi-Versionen 6.5.x vor ESXi650-202102101-SG

In Fällen, in denen das Patchen von CVE-2021-21974 Zeit in Anspruch nehmen wird, ist zu beachten, dass VMware auch Workarounds veröffentlicht hat, um das Risiko einer Ausnutzung zu verringern.
Vielen Unternehmen fehlt es an einer Übersicht und Kategorisierung ihrer IT-Assets. Die Ergebnisse des „The State of Cyberwarfare and Trends Report 2022-2023“ zeigen auf, dass nur 27 Prozent der Befragten aus Deutschland, Österreich und der Schweiz angaben, dass ihre Firmen in Asset-Management investieren. Die Plattform von Armis hilft, von ESXiArgs-Ransomware betroffene Assets zu finden und zu identifizieren.


Mehr zum Thema:

zum vorherigen Artikel

    

zum nächsten Artikel