• IT-Karriere:
  • Services:

Command Injection: NSA warnt vor VMware-Lücke

Der US-Geheimdienst NSA sieht russische Akteure hinter Angriffen auf eine Sicherheitslücke in VMware-Produkten

Artikel veröffentlicht am ,
Empfehlungen der NSA in Sachen IT-Sicherheit sollte man mit Vorsicht genießen, dem Ratschlag, ein wichtiges VMware-Update schnell zu installieren, kann man aber wohl bedenkenlos folgen.
Empfehlungen der NSA in Sachen IT-Sicherheit sollte man mit Vorsicht genießen, dem Ratschlag, ein wichtiges VMware-Update schnell zu installieren, kann man aber wohl bedenkenlos folgen. (Bild: National Security Agency, Wikimedia Commons)

Die National Security Agency (NSA) warnt vor Angriffen auf VMware-Produkte. Im Webinterface von verschiedenen Produkten des Herstellers von Virtualisierungssystemen wurde vor kurzem eine Command-Injection-Lücke geschlossen. Ein Update hat VMware am dritten Dezember bereitgestellt. Wer die entsprechenden Produkte nutzt, sollte sie schnellstmöglich aktualisieren.

Stellenmarkt
  1. Melitta Business Service Center GmbH & Co. KG, Minden
  2. Interhyp Gruppe, Berlin, München

Die Angriffe hinterlassen laut NSA eine Webshell auf den verwundbaren Systemen, mit der ein dauerhafter Zugriff möglich wird. Die betroffenen Produkte von VMware betreiben standardmäßig auf Port 8443 ein HTTPS-Webinterface, das für die Lücke verwundbar ist.

Lücke nur mit gültigen Zugangsdaten ausnutzbar

Um die Lücke auszunutzen, benötigt man gültige Zugangsdaten für das betroffene System. Vermutlich kannten die Angreifer daher bei den betroffenen Systemen bereits Zugangsdaten, die sie auf anderem Wege erhalten haben, oder sie haben diese durch Brute-Force-Angriffe herausgefunden.

Laut der Meldung der NSA stecken hinter den beobachteten Angriffen russische staatlich unterstützte Akteure. Belege für diese Behauptung oder weitere Details über die Angreifer liefert die NSA nicht. Generell ist die Attribution von Hackerangriffen schwierig und es ist häufig unklar, wer hinter Angriffen steckt.

Unabhängig davon ist die Empfehlung des US-Geheimdienstes, das Sicherheitsupdate von VMware schnellstmöglich zu installieren, natürlich sinnvoll. Weiterhin sollte man - so wie immer - darauf achten, möglichst sichere und vor allem einmalige Passwörter zu nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 9,49€
  2. 28,99€
  3. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...
  4. 14,99€

dummzeuch 10. Dez 2020

War zwar sarkastisch gemeint, aber genaugenommen finde ich es tatsächlich gut, dass...

TplusA 09. Dez 2020

Bisher konnte eine NSA und britische Kollegen die Lücke lange bequem nutzen und still...

Dystopinator 08. Dez 2020

naja, es wäre richtig das administrationsinterface nur aus bestimmten netzwerkabschnitten...


Folgen Sie uns
       


Purism Librem 5 - Test

Das Librem 5 ist ein Linux-Smartphone, das den Namen wirklich verdient. Das Gerät enttäuscht aber selbst hartgesottene Linuxer.

Purism Librem 5 - Test Video aufrufen
IT-Unternehmen: Die richtige Software für ein Projekt finden
IT-Unternehmen
Die richtige Software für ein Projekt finden

Am Beginn vieler Projekte steht die Auswahl der passenden Softwarelösung. Das kann man intuitiv machen oder mit endlosen Pro-und-Contra-Listen, optimal ist beides nicht. Ein Praxisbeispiel mit einem Ticketsystem.
Von Markus Kammermeier

  1. Anzeige Was ITler tun können, wenn sich jobmäßig nichts (mehr) tut
  2. IT-Jobs Lohnt sich ein Master in Informatik überhaupt?
  3. Quereinsteiger Mit dem Master in die IT

Wissen für ITler: 11 tolle Tech-Podcasts
Wissen für ITler
11 tolle Tech-Podcasts

Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
Von Dennis Kogel


    AfD und Elektroautos: Herr, lass Hirn vom Himmel regnen!
    AfD und Elektroautos
    "Herr, lass Hirn vom Himmel regnen!"

    Der AfD-Abgeordnete Marc Bernhard hat im Bundestag gegen die Elektromobilität gewettert. In seiner Rede war kein einziger Satz richtig.
    Eine Analyse von Friedhelm Greis

    1. Nach Börsengang Lucid plant Konkurrenz für Teslas Model 3
    2. Econelo M1 Netto verkauft Elektro-Kabinenroller für 5.800 Euro
    3. Laden von E-Autos Spitzentreffen zu möglichen Engpässen im Stromnetz

      •  /