Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft eine Warnstufe aus und generell wird von einer geschäftskritischen Bedrohungslage gesprochen, die VMware ESXi betrifft. Die gefundenen Sicherheitslücken werden bereits aktiv ausgenutzt, heißt es, sodass Server weltweit, die auf die Virtualisierungsplattform setzen, entsprechend Gefahr laufen, gehackt zu werden. Verteilt wird unter anderem die Ransomware Nevada.
Was ist VMware ESXi?
Kurz gesagt handelt es sich um einen Bare-Metal-Hypervisor, also eine Virtualisierungssoftware, welche direkt auf dem jeweiligen Server installiert werden kann. Der Bare-Metal-Hypervisor wird auch als Typ-1-Hypervisor bezeichnet. Im Vergleich mit einem Typ-2-Hypervisor, der auf einem Host-Betriebssystem läuft, steuert der Typ-1-Hypervisor direkt die Hardware selbst.
Im Grunde ist der Bare-Metal-Hypervisor also direkt mit der Hardware auf dem jeweiligen Server verbunden, während der Typ-2-Hypervisor nur auf einem Betriebssystem läuft. Mit dem Bare-Metal-Hypervisor können virtuelle Maschinen gehostet werden, die aufgrund der direkten Anbindung an die Serverhardware ein besseres Ressourcenmanagement und somit eine höhere Skalierbarkeit aufweisen. Letzteres ist auch der wichtigste Unterschied zum Typ-2-Hypervisor. Der muss Hardwareanforderungen nämlich erst einmal durch das Betriebssystem schleusen.
Neben VMware ESXi gibt es noch weitere Bare-Metal-Hypervisoren, unter anderem zum Beispiel Citrix XenServer oder Microsoft Hyper-V. So viel also zu den Grundlagen und dazu, was VMware ESXi überhaupt ist. Doch hier soll es um die kritischen Sicherheitslücken gehen, die kürzlich auftauchten und die für Unternehmen ein enormes Sicherheitsrisiko darstellen.
Welche Sicherheitslücke ist in VMware ESXi aufgetaucht?
Das Problem mit der Sicherheitslücke von VMware ESXi ist eigentlich, dass diese bereits seit zwei Jahren bekannt ist. Allerdings ist sie derart kritisch und verbreitet, dass Angreifer in jüngster Vergangenheit damit begonnen haben, die Lücke noch einmal im großen Stil auszunutzen. Das gelingt, weil Unternehmen häufig kein vernünftiges Patch Management etabliert haben. Derartige Lücken werden also nicht zeitnah geschlossenen, sondern bleiben für lange Zeit bestehen. Genau wie jetzt, im Falle einer zwei Jahre alten Schwachstelle, die dennoch auf einer Vielzahl an IT-Systemen vorhanden zu sein scheint.
Dabei geht es um eine Sicherheitslücke in VMware ESXi mit der Kennung CVE-2021-21974. Diese wird genutzt, um derzeit tausende von Servern anzugreifen und die Ransomware Nevada zu verbreiten. Selbige infiziert betroffene Geräte erst einmal, bevor sie diese dann verschlüsselt und für Erpressungsversuche verwendet. Die Sicherheitslücke ist nach CVSS mit einem Schweregrad von 8.8 angegeben und somit als »hoch« eingestuft.
Tatsächlich ist die Sicherheitslücke bereits seit Langem bekannt und wurde mit einem Patch auch schon geschlossen. Dass die Lücke in den jeweiligen Unternehmen also noch existiert, steht primär mit einem schlechten Patch Management für betroffene IT-Systeme in Verbindung.
Was sollten betroffene Unternehmen jetzt tun?
Das BSI hat eine »IT-Bedrohungslage: 3 / Orange« ausgerufen. Betroffen sind vorwiegend die Länder Frankreich, Deutschland, USA und Kanada. Ein Heap Overflow sorgt bei der Schwachstelle in VMwares Virtualisierungslösung ESXi dafür, dass externer Schadcode ausgeführt werden kann.
Der Clou bei der Geschichte ist jedoch, dass ein entsprechender Patch bereits im Februar 2021 veröffentlicht wurde. VMware hat als Hersteller also längst reagiert und auch auf die Sicherheitslücke hingewiesen. Unternehmen und ihre IT haben jedoch nicht agiert oder konnten Patches, aufgrund eines mangelhaften Patch Managements, nicht einspielen.
Wer noch keinen Patch ausgerollt hat, sollte dies nun dringlichst nachholen. Zeit zu warten, besteht nicht mehr, da betroffene Server derzeit massiven Angriffen ausgesetzt sind. Dafür gibt es zum Teil bereits Hilfe. So hat die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) ein Script veröffentlicht, welches kompromittierte Systeme wiederherstellen kann. Mehr dazu finden Sie in dieser PDF des BSI, die Sie wiederum auf dieser Website herunterladen können.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Wie kann effektives Patch Management helfen?
In Unternehmen, die mit großen IT-Infrastrukturen arbeiten oder eben mit Software wie VMwares Virtualisierungslösung zu tun haben, ist ein entsprechend effektives Patch Management unabdingbar. Hier gilt es darauf zu achten, dass dieses jederzeit effizient bleibt. Abhängigkeiten von alter Software dürfen nicht bestehen und Patches sollten sofort und nicht erst irgendwann eingespielt werden. Genau an dieser Reaktionsfähigkeit scheitern viele Unternehmen, da sie in ihrer IT nicht besonders agil auftreten.
Patch Management bringt neben den Sicherheitsaspekten auch eine größtmögliche Erreichbarkeit mit sich. Compliance-Anforderungen behandeln ebenfalls oft das zeitnahe Patchen und somit natürlich auch Schließen von bekannten Schwachstellen. Eine ISO 27001 Zertifizierung, wie wir sie für Ihr Unternehmen anbieten, hilft dabei, das Patch Management als Teil der Compliance vollständig zu normalisieren und stabil aufzubauen.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
