Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat am 08.02.2023 bekannt gegeben, dass Sicherheitslücken derzeit massiv ausgenutzt werden. Tausende Server in Frankreich, den USA, Deutschland und Kanada sind Opfer eines Cyber-Angriffs geworden. Es handelt sich dabei um Server, auf denen die Virtualisierungslösung VMware ESXi zum Einsatz kommt. Diese Server wurden mit Ransomware infiziert, wodurch die VMs (Virtual Machines) verschlüsselt wurden und seit dem Zeitpunkt für den Besitzer unzugänglich sind. Dies kann zu erheblichen Beeinträchtigungen in den betroffenen Unternehmen führen, mitunter bis zur Existenzbedrohung. Auch kritische Infrastrukturen können geschädigt werden. Es gilt daher höchste Alarmbereitschaft.

Den Artikel des BSI können Sie hier lesen.

Welche bekannten Systeme sind betroffen?

Nach heutigem Stand handelt es sich um folgende Systeme:

• ESXi 7.x-Versionen vor ESXi70U1c-17325551
• ESXi-Versionen 6.7.x früher als ESXi670-202102401-SG
• ESXi-Versionen 6.5.x früher als ESXi650-202102101-SG

Wie kann das passieren?

Die Schwachstelle im OpenSLP Service ist bereits seit 2021 bekannt (VMware2021) und wird unter der Kennzeichnung CVE-2021-21974 geführt. Sie ermöglicht es den Tätern, einen “Heap Overflow” anzustoßen und aus der Ferne Codes auzusführen. In diesem speziellen Fall werden Daten verschlüsselt und sind dann nur sehr schwer wieder herstellbar. Das CVSS (Common Vulnerability Scoring System) stuft diesen Angriff daher auch mit dem Wert 8,8 als „hoch“ ein.

Welche Maßnahmen sollten Sie durchführen?

• Update/Migration auf die neuste VMware ESXi Version
• Überprüfen Sie die Notwendigkeit, dass Ihr System aus dem Internet erreichbar ist.

Spezifische Informationen zu dieser Sicherheitslücke und Maßnahmen, die vom Hersteller VMware empfohlen werden, finden sie hier.

Benötigen Sie Unterstützung?

Wir helfen Ihnen jederzeit, um Sie und Ihr Unternehmen gegen diese Sicherheitslücke auszurüsten. Sie erreichen uns telefonisch unter +49 (0) 7821- 95 488-00 oder über unser Kontaktformular.