2. Juni 2021 Martin Bayer*

Sicherheitslücke in VMware vCenter: Hacker könnten Ransomware platzieren

VMware hat massive Sicherheitsprobleme. Nachdem bereits im Februar eine Schwachstelle in vCenter bekannt wurde, kam nun das nächste gravierende Leck zutage. [...]

vCenter-Anwender leben derzeit gefährlich. Immer wieder tauchen Schwachstellen in VMwares Management-Lösung auf (c) pixabay.com

VMware muss wieder einmal ein größeres Sicherheitsloch in seiner Plattform stopfen. Diesmal hat es erneut vCenter getroffen, die zentrale Management-Plattform für virtualisierte IT-Infrastrukturen. Betroffen sind die Release-Stände 6.5, 6.7 und 7.0. Die Lücke mit der offiziellen Bezeichnung CVE-2021-21985 nutzt eine Schwachstelle im vSAN-Plugin von vCenter aus. Das Problem dabei: Dieses Plugin ist von Haus aus standardmäßig aktiviert. Damit sind auch vCenter-Anwender betroffen, die dieses Werkzeug nicht nutzen.

Die Folgen der Sicherheitslücke können gravierend sein. Angreifer könnten sich theoretisch über den Port 443 bis zum zentralen Host-System durchhangeln und dort beliebigen Schadcode ablaufen lassen. Eine Firewall an diesem Port könnte die letzte Verteidigungslinie sein, schreiben die VMware-Verantwortlichen in einer FAQ zu dem Problem. „Unternehmen, die ihre vCenter-Server in Netzwerken platziert haben, die direkt vom Internet aus zugänglich sind, verfügen möglicherweise nicht über diese Verteidigungslinie und sollten ihre Systeme auf Kompromittierung überprüfen“, rät der Softwarehersteller seinen Kunden. „Sie sollten auch Maßnahmen ergreifen, um mehr Perimeter-Sicherheitskontrollen wie Firewalls und Access Control Lists (ACLs) an den Verwaltungsschnittstellen ihrer Infrastruktur zu implementieren.“

Im Zuge des jüngsten Vorfalls schlägt VMware Alarm: „Dies erfordert Ihre sofortige Aufmerksamkeit, wenn Sie vCenter Server verwenden“, hieß es in einem Blog-Post. Angesichts des immer massiveren Ransomware-Aufkommens sei es für Anwender am sichersten, vom Schlimmsten auszugehen und damit zu rechnen, dass ein Angreifer bereits irgendwo im Netzwerk steckt, auf einem Desktop, und vielleicht sogar ein Benutzerkonto unter seine Kontrolle gebracht hat. „Wir empfehlen dringend, Notfallpläne aufzustellen und so schnell wie möglich zu patchen.“

Hacker nehmen VMware-Produkte aufs Korn

VMware hat bereits Patches zur Verfügung gestellt. Sollte ein Update nicht möglich sein, bleibe als letzter Ausweg, Plugins im vCenter-Server auszuschalten. Der Hersteller hat bereits Anleitungen dafür veröffentlicht. Allerdings behindere das Abschalten des betroffenen vSAN-Plugins den Betrieb und vor allem das Monitoring von vCenter-Umgebungen, warnten die Verantwortlichen. Man sollte das Plugin daher eigentlich nur für kurze Zeit außer Betrieb nehmen. Mit den angebotenen Patches will VMware seinen Kunden eine verbesserte Authentifizierung beim Zugriff auf vCenter-Plugins bieten. Ob das mit allen Plugins, gerade von Drittanbietern, reibungslos funktioniere, könne allerdings nicht garantiert werden.

Bereits im Februar dieses Jahres stand VMware in den Schlagzeilen. Eine Schwachstelle im vSphere Client, ein Plugin von vCenter, über das Administratoren VMware-Produkte auf verschiedensten Devices im Netz steuern und managen können, erlaubte Hackern, die Kon­trolle über betroffene Geräte zu übernehmen und dort Schadcode auszuführen. Scans von Security-Experten ergaben, das etwa 6.700 angreifbare vCenter-Server im Netz hingen. Ebenfalls im Februar 2021 wurde bekannt, dass Cyberkriminelle Schwachstellen in ESXi (CVI-2019-5544 und CVI-2020-3992) aus­genutzt haben, um virtuelle Maschinen in Unternehmensnetzen zu kompromittieren und dort Ransomware zu platzieren. Die Attacken begannen bereits im Oktober 2020.

Angesichts der jüngsten Security-Vorfälle rund um VMware-Produkte empfahl der Hersteller seinen Kunden, grundsätzlich mehr Augenmerk auf die IT Security zu legen. Die Probleme beträfen schließlich nicht nur VMwareSoftware. Mehr Kontrollstellen würden dabei allerdings nicht ausreichen. Es gehe darum, Netzwerke effizienter voneinander zu trennen. „Ransomware-Banden haben wiederholt demonstriert, dass sie in der Lage sind, Unternehmensnetzwerke zu kom­promittieren, indem sie extrem geduldig auf eine neue Schwachstelle warten, um dann von innerhalb eines Netzwerks an­zugreifen“, hieß es seitens der VMware-Verantwortlichen. Unternehmen sollten zusätzliche Sicherheitskontrollen einrichten und in Betracht ziehen, ihre IT-Infrastruktur von anderen Teilen des Unternehmensnetzwerks zu isolieren. Der Softwarehersteller rät den Anwendern, moderne Zero-Trust-Sicherheitsstrategien zu implementieren.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

*Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP; Betreuung von News und Titel-Strecken in der Print-Ausgabe der COMPUTERWOCHE.


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*