Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Italien, USA, Frankreich: Großer Cyberangriff zielt auf zwei Jahre alte Lücke

Eigentlich wurde die Lücke in VMWare ESXi schon Anfang 2021 behoben. Die Arbeit machten sich viele Firmen nicht. Nun haben sie Probleme.
/ Oliver Nickel
11 Kommentare News folgen (öffnet im neuen Fenster)
Die Sicherheitslücke betrifft anscheinend Unternehmen in der ganzen westlichen Welt. (Bild: Pixabay.com)
Die Sicherheitslücke betrifft anscheinend Unternehmen in der ganzen westlichen Welt. Bild: Pixabay.com / Pixabay License

Offenbar verwenden einige Unternehmen und Organisationen weiterhin sehr unsichere virtuelle Maschinen. Die italienische Cybersicherheitsbehörde ACN warnt Firmen vor einer Hacking-Gruppe, die eine seit zwei Jahren behobene Lücke in VMWare ESXi ausnutzt. Offenbar sind davon nicht nur italienische Unternehmen betroffen. Parallel dazu melden französische, britische, US-amerikanische und kanadische Stellen Angriffe auf die VMWare-Systeme.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Referent*in der Dezernatsleitung DSRV-Services (w/m/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)
Senior Data Engineer / Senior Data Analytics Developer (m/w/d) SDX AG, Frankfurt (öffnet im neuen Fenster)
Softwareentwickler Giro- und Passiv-Steuerung (m/w/d) Finanz Informatik GmbH & Co. KG, Frankfurt am Main,Hannover,Münster (öffnet im neuen Fenster)
Technischer Experte (m/w/d) Batteriesysteme Bahn - Internationaler Service & Support HOPPECKE Systemtechnik GmbH, Zwickau (öffnet im neuen Fenster)
Consultant (m/w/d) im Bereich Informationssicherheit / Cyber-Security BBH Consulting AG, München (öffnet im neuen Fenster)
Business Analyst Risikocontrolling (m/w/d) Finanz Informatik GmbH & Co. KG, Frankfurt am Main,Münster,Hannover (öffnet im neuen Fenster)
Referent*in Organisationsentwicklung und Digitalisierung (d/m/w) Nahverkehrsverbund Schleswig-Holstein GmbH (NAH.SH GmbH), Kiel (öffnet im neuen Fenster)
Software Developer (m/w/d)* Alte Leipziger Lebensversicherung a. G., Oberursel (öffnet im neuen Fenster)

Es scheint sich also um einen weitreichenden Angriff zu handeln, bei dem zudem mittlerweile Schadcode auf den infizierten Systemen hinterlassen worden sein könnte. Es reicht daher nicht, den seit zwei Jahren verfügbaren Fix aufzuspielen. Eine umfangreiche Diagnose ist deshalb zusätzlich zum Patch notwendig. Laut dem Nachrichtenportal Bloomberg(öffnet im neuen Fenster) wollen sich italienische Vertreter am Montag, den 6. Februar 2023, treffen. Dann soll das weitere Vorgehen diskutiert werden.

Exploit für die Lücke einfach auffindbar

Die Warnung seitens der ACN gibt nicht bekannt, welche Sicherheitslücke genau dafür ausgenutzt wird. Allerdings wurde im Februar 2021 eine entsprechende gefährliche Lücke behoben , die schon zum damaligen Zeitpunkt seit einem Jahr bekannt war. CVE-2021-21972(öffnet im neuen Fenster) wurde vom Sicherheitsforscher Mikhail Klyuchnikov entdeckt. Er konnte damit etwa unautorisierte Anfragen an das Webpanel des vSphere-Clients senden. VSXi ist der Hypervisor von vSphere und daher direkt damit verbunden.

Die Directory-Traversal-Lücke ermöglicht es, mittels einfacher Zeichenfolgen (../) an beliebigen Stellen des verwundbaren Systems Dateien zu entpacken. Klyuchnikov konnte dadurch etwa eine JSP-Shell verstecken und aus der Ferne Befehle mit Adminrechten ausführen. Besonders problematisch ist das, weil auf Github sogar ein Exploit kostenlos(öffnet im neuen Fenster) und leicht abrufbar ist.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Da vSphere ohne zusätzliche Einstellungen seitens der User aus dem Web erreichbar sind, ist der Dienst also stets durch die Lücke angreifbar. Eine böswillige Partei müsste nur massenweise nach nicht aktualisierten Geräten scannen und könnte so auf diverse Dienste zugreifen.

Zur Startseite 11 Kommentare

Relevante Themen

SoftwareToolsUnternehmenssoftwareSecuritySicherheitslückeCybercrimeDatensicherheitVirtualisierungHacker