BSI warnt: Tausende deutsche VMware-Instanzen sind angreifbar
Das Cert-Bund des BSI hat eine Warnung vor in Deutschland betriebenen VMware-ESXi-Servern herausgegeben, deren Management-Schnittstellen über das Internet erreichbar sind und die zugleich auf veralteter Software basieren. Laut Mastodon-Beitrag der Behörde(öffnet im neuen Fenster) geht es um Verwaltungsschnittstellen von rund 2.500 VMware-Servern, die derzeit online zugänglich und zu über 90 Prozent nicht aktuell sind.
Schon der Umstand, dass die Schnittstellen überhaupt über das Internet zugänglich sind, ist für das Cert-Bund Anlass zur Kritik. "Diese sollten grundsätzlich nicht im Internet exponiert werden" , heißt es in der Meldung. Hinzu kommt, dass mit Stand vom 22. Januar etwa 60 Prozent dieser Systeme auf einer veralteten Hauptversion (bis einschließlich 7.0) laufen, für die es gar keine Updates mehr gibt.
Auf weiteren 31 Prozent der VMware-Instanzen läuft zwar laut BSI die aktuelle Hauptversion 8.0, jedoch befinden sich diese Systeme auf einem veralteten Patch-Stand. Damit bleiben effektiv weniger als zehn Prozent aller der Behörde bekannten Server, die aktuell und vollständig gepatcht sind. Der Großteil der VMware-Instanzen ist damit anfällig für bekannte Sicherheitslücken .
VMware vCenter Server unter Beschuss
Passend zu der Meldung des BSI gab auch die US-amerikanische Cybersicherheitsbehörde Cisa kürzlich eine Warnung vor einer aktiv ausgenutzten Sicherheitslücke in VMware vCenter Server heraus(öffnet im neuen Fenster) . Die Lücke ist zwar schon seit Mitte 2024 bekannt, offenkundig gibt es aber noch immer einige Systeme, auf denen der verfügbare Patch nicht eingespielt wurde.
Konkret handelt es sich bei der besagten Lücke um CVE-2024-37079(öffnet im neuen Fenster) . Laut Schwachstellenbeschreibung liegt die Ursache in der Implementierung des DCERPC(öffnet im neuen Fenster) -Protokolls. Angreifer können darin durch speziell gestaltete Datenpakete einen Heap-Overflow auslösen und potenziell Schadcode zur Ausführung bringen. Der Schweregrad der Lücke ist kritisch (CVSS: 9,8).
Auch Broadcom bestätigt die aktive Ausnutzung der Sicherheitslücke in VMware vCenter Server im zugehörigen Supportbeitrag(öffnet im neuen Fenster) . Administratoren sollten ihre VMware-Instanzen aktualisieren, um sich vor den Angriffen zu schützen. Patches stehen schon seit 2024 zur Verfügung. In welchem Umfang die Attacken stattfinden und welches Ziel die Angreifer damit genau verfolgen, geht weder aus der Meldung von Broadcom noch aus jener der Cisa hervor.