Italien, USA, Frankreich: Großer Cyberangriff zielt auf zwei Jahre alte Lücke

Eigentlich wurde die Lücke in VMWare ESXi schon Anfang 2021 behoben. Die Arbeit machten sich viele Firmen nicht. Nun haben sie Probleme.

Artikel veröffentlicht am ,
Die Sicherheitslücke betrifft anscheinend Unternehmen in der ganzen westlichen Welt.
Die Sicherheitslücke betrifft anscheinend Unternehmen in der ganzen westlichen Welt. (Bild: Pixabay.com/Pixabay License)

Offenbar verwenden einige Unternehmen und Organisationen weiterhin sehr unsichere virtuelle Maschinen. Die italienische Cybersicherheitsbehörde ACN warnt Firmen vor einer Hacking-Gruppe, die eine seit zwei Jahren behobene Lücke in VMWare ESXi ausnutzt. Offenbar sind davon nicht nur italienische Unternehmen betroffen. Parallel dazu melden französische, britische, US-amerikanische und kanadische Stellen Angriffe auf die VMWare-Systeme.

Es scheint sich also um einen weitreichenden Angriff zu handeln, bei dem zudem mittlerweile Schadcode auf den infizierten Systemen hinterlassen worden sein könnte. Es reicht daher nicht, den seit zwei Jahren verfügbaren Fix aufzuspielen. Eine umfangreiche Diagnose ist deshalb zusätzlich zum Patch notwendig. Laut dem Nachrichtenportal Bloomberg wollen sich italienische Vertreter am Montag, den 6. Februar 2023, treffen. Dann soll das weitere Vorgehen diskutiert werden.

Exploit für die Lücke einfach auffindbar

Die Warnung seitens der ACN gibt nicht bekannt, welche Sicherheitslücke genau dafür ausgenutzt wird. Allerdings wurde im Februar 2021 eine entsprechende gefährliche Lücke behoben, die schon zum damaligen Zeitpunkt seit einem Jahr bekannt war. CVE-2021-21972 wurde vom Sicherheitsforscher Mikhail Klyuchnikov entdeckt. Er konnte damit etwa unautorisierte Anfragen an das Webpanel des vSphere-Clients senden. VSXi ist der Hypervisor von vSphere und daher direkt damit verbunden.

Die Directory-Traversal-Lücke ermöglicht es, mittels einfacher Zeichenfolgen (../) an beliebigen Stellen des verwundbaren Systems Dateien zu entpacken. Klyuchnikov konnte dadurch etwa eine JSP-Shell verstecken und aus der Ferne Befehle mit Adminrechten ausführen. Besonders problematisch ist das, weil auf Github sogar ein Exploit kostenlos und leicht abrufbar ist.

Da vSphere ohne zusätzliche Einstellungen seitens der User aus dem Web erreichbar sind, ist der Dienst also stets durch die Lücke angreifbar. Eine böswillige Partei müsste nur massenweise nach nicht aktualisierten Geräten scannen und könnte so auf diverse Dienste zugreifen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
VMware, Nvidia, PS5
Schon wieder fällt eine wichtige Messe wegen Corona aus
artikel-bild
Virtualisierung
Update schließt Lücke in VMware Player und Workstation
artikel-bild
Datenleck
Ehemaliger Ubiquiti-Angestellter bekennt sich schuldig
Meistgelesen
artikel-bild
Treibstoffe
Die Suche nach dem E-Fuels-Phantom
artikel-bild
Schneller als SSDs
Eine RAM-Festplatte bricht Geschwindigkeitsrekorde
artikel-bild
Morris Chang
TSMC-Gründer erklärt Globalisierung im Chipsektor für tot
Kommentarübersicht
Re: Da vSphere ohne zusätzliche Einstellungen...
Popkultur 07. Feb 2023 / Themenstart

"Krauter"...

Wie kann man nur so schlecht absichern!
JouMxyzptlk 06. Feb 2023 / Themenstart

VMware Bug hin oder her, die im Artikel genannte Lücke kann nur durch unglaublich dumme...

Re: Was hat das denn mit ESXi zu tun?
phade 06. Feb 2023 / Themenstart

Das mit dem vSphere CVE ist bisher nur eine Vermutung. Genaues weiß man aktuell noch nicht.

Es ist nicht nur vSphere
phade 06. Feb 2023 / Themenstart

Aktuell haben die Italiener noch nicht gesagt, welchen Lücke(n) dort massiv ausgenutzt...

Kommentieren

Aktuell auf der Startseite von Golem.de
Schneller als SSDs
Eine RAM-Festplatte bricht Geschwindigkeitsrekorde

Schneller als SSDs und unendlich oft beschreibbar: Das verspricht ein Speichermedium, das RAM-Chips nutzt, aber über NVMe angesprochen wird.

Schneller als SSDs: Eine RAM-Festplatte bricht Geschwindigkeitsrekorde
Artikel
  1. Entlassungen: Amazon wirft weitere 9.000 Mitarbeiter raus
    Entlassungen
    Amazon wirft weitere 9.000 Mitarbeiter raus

    Mit der neuen Entlassungswelle hat Amazon nun 27.000 Mitarbeiter weniger.

  2. Altersdiskriminierung in der IT: Schluss mit Projekten, Sie kochen hier nur noch Kaffee
    Altersdiskriminierung in der IT
    Schluss mit Projekten, Sie kochen hier nur noch Kaffee

    Altersdiskriminierung betrifft in der IT nicht nur ältere, sondern auch junge Mitarbeiter. Ob bei Stellenausschreibung oder im Job - wann es lohnt, dafür vor Gericht zu ziehen.
    Von Harald Büring

  3. Solarstrom: Greenakku bietet Balkonkraftwerk mit Speicherakku an
    Solarstrom
    Greenakku bietet Balkonkraftwerk mit Speicherakku an

    Die Balkonkraftwerke von Greenakku sind ab sofort auch in Sets mit einem Akku verfügbar. So wird überschüssige Energie gespeichert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Amazon Coupon-Party • MindStar: MSI RTX 4080 -100€ • Neue RAM-Tiefstpreise • Sandisk MicroSDXC 256GB -69% • Neue Wochendeals bei Media Markt • Bosch Professional-Rabatte • Otto Oster-Angebote • 38-GB-Allnet-Flat 12,99€/Monat • Meta Quest Pro 1.199€ • [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /