• IT-Karriere:
  • Services:

Command Injection: NSA warnt vor VMware-Lücke

Der US-Geheimdienst NSA sieht russische Akteure hinter Angriffen auf eine Sicherheitslücke in VMware-Produkten

Artikel veröffentlicht am ,
Empfehlungen der NSA in Sachen IT-Sicherheit sollte man mit Vorsicht genießen, dem Ratschlag, ein wichtiges VMware-Update schnell zu installieren, kann man aber wohl bedenkenlos folgen.
Empfehlungen der NSA in Sachen IT-Sicherheit sollte man mit Vorsicht genießen, dem Ratschlag, ein wichtiges VMware-Update schnell zu installieren, kann man aber wohl bedenkenlos folgen. (Bild: National Security Agency, Wikimedia Commons)

Die National Security Agency (NSA) warnt vor Angriffen auf VMware-Produkte. Im Webinterface von verschiedenen Produkten des Herstellers von Virtualisierungssystemen wurde vor kurzem eine Command-Injection-Lücke geschlossen. Ein Update hat VMware am dritten Dezember bereitgestellt. Wer die entsprechenden Produkte nutzt, sollte sie schnellstmöglich aktualisieren.

Stellenmarkt
  1. Melitta Business Service Center GmbH & Co. KG, Minden
  2. Interhyp Gruppe, Berlin, München

Die Angriffe hinterlassen laut NSA eine Webshell auf den verwundbaren Systemen, mit der ein dauerhafter Zugriff möglich wird. Die betroffenen Produkte von VMware betreiben standardmäßig auf Port 8443 ein HTTPS-Webinterface, das für die Lücke verwundbar ist.

Lücke nur mit gültigen Zugangsdaten ausnutzbar

Um die Lücke auszunutzen, benötigt man gültige Zugangsdaten für das betroffene System. Vermutlich kannten die Angreifer daher bei den betroffenen Systemen bereits Zugangsdaten, die sie auf anderem Wege erhalten haben, oder sie haben diese durch Brute-Force-Angriffe herausgefunden.

Laut der Meldung der NSA stecken hinter den beobachteten Angriffen russische staatlich unterstützte Akteure. Belege für diese Behauptung oder weitere Details über die Angreifer liefert die NSA nicht. Generell ist die Attribution von Hackerangriffen schwierig und es ist häufig unklar, wer hinter Angriffen steckt.

Unabhängig davon ist die Empfehlung des US-Geheimdienstes, das Sicherheitsupdate von VMware schnellstmöglich zu installieren, natürlich sinnvoll. Weiterhin sollte man - so wie immer - darauf achten, möglichst sichere und vor allem einmalige Passwörter zu nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Polestar 2 im Test
    Lädst du noch oder fährst du schon?
  2. Telekom-Chef
    Kabelnetz erreicht "nirgendwo ein Gigabit"
  3. Notebook
    Beim Framework Laptop sind selbst die Anschlüsse tauschbar
  4. Game Freak
    Neue Pokémon-Abenteuer für Nintendo Switch angekündigt
  5. Mac Mini mit M1-CPU
    Apple baut das fast perfekte ARM-Entwicklungsmonster
Anzeige
Spiele-Angebote
  1. 9,49€
  2. 28,99€
  3. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...
  4. 14,99€
Kommentarübersicht
Re: Nur gut, dass die "bösen Russen" ...
dummzeuch 10. Dez 2020

War zwar sarkastisch gemeint, aber genaugenommen finde ich es tatsächlich gut, dass...

Wie lange eine NSA die Lücke kennt geben sie nicht an
TplusA 09. Dez 2020

Bisher konnte eine NSA und britische Kollegen die Lücke lange bequem nutzen und still...

Re: standardmäßig auf Port 8443 ein HTTPS...
Dystopinator 08. Dez 2020

naja, es wäre richtig das administrationsinterface nur aus bestimmten netzwerkabschnitten...

Folgen Sie uns
       
Purism Librem 5 - Test

Das Librem 5 ist ein Linux-Smartphone, das den Namen wirklich verdient. Das Gerät enttäuscht aber selbst hartgesottene Linuxer.

Purism Librem 5 - Test Video aufrufen
Arbeit
IT-Unternehmen: Die richtige Software für ein Projekt finden
IT-Unternehmen
Die richtige Software für ein Projekt finden

Am Beginn vieler Projekte steht die Auswahl der passenden Softwarelösung. Das kann man intuitiv machen oder mit endlosen Pro-und-Contra-Listen, optimal ist beides nicht. Ein Praxisbeispiel mit einem Ticketsystem.
Von Markus Kammermeier

  1. Anzeige Was ITler tun können, wenn sich jobmäßig nichts (mehr) tut
  2. IT-Jobs Lohnt sich ein Master in Informatik überhaupt?
  3. Quereinsteiger Mit dem Master in die IT
Podcast
Wissen für ITler: 11 tolle Tech-Podcasts
Wissen für ITler
11 tolle Tech-Podcasts

Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
Von Dennis Kogel

    Elektroauto
    AfD und Elektroautos: Herr, lass Hirn vom Himmel regnen!
    AfD und Elektroautos
    "Herr, lass Hirn vom Himmel regnen!"

    Der AfD-Abgeordnete Marc Bernhard hat im Bundestag gegen die Elektromobilität gewettert. In seiner Rede war kein einziger Satz richtig.
    Eine Analyse von Friedhelm Greis

    1. Nach Börsengang Lucid plant Konkurrenz für Teslas Model 3
    2. Econelo M1 Netto verkauft Elektro-Kabinenroller für 5.800 Euro
    3. Laden von E-Autos Spitzentreffen zu möglichen Engpässen im Stromnetz
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /