Ungepatchte VMWare-Schwachstelle, die von Hackern verwendet wird, um Server anzugreifen und Ransomware zu verbreiten

Ein ungepatchter Softwarefehler in den ESXi-Servern von VMWare wird von Hackern mit dem Ziel ausgenutzt, Ransomware auf der ganzen Welt zu verbreiten.

Ungepatchte VMWare-Server werden von Hackern missbraucht

Eine zwei Jahre alte Software-Schwachstelle in den ESXi-Servern von VMWare ist zum Ziel einer weit verbreiteten Hacking-Kampagne geworden. Ziel des Angriffs ist die Bereitstellung von ESXiArgs, einer neuen Ransomware-Variante. Schätzungen zufolge sind Hunderte von Organisationen betroffen.

Das französische Computer Emergency Response Team (CERT) veröffentlichte am 3. Februar eine Erklärung, in der die Art der Angriffe diskutiert wurde. In dem CERT-Beitrag wurde geschrieben, dass die Kampagnen „scheinbar die Offenlegung von ESXi-Hypervisoren ausgenutzt haben, die nicht schnell genug mit Sicherheitspatches aktualisiert wurden.“ CERT bemerkte auch, dass der gezielte Fehler „einem Angreifer erlaubt, a Ausnutzung willkürlichen Codes aus der Ferne.“

Unternehmen wurden aufgefordert, die Schwachstelle des Hypervisors zu patchen, um zu vermeiden, Opfer dieser Ransomware-Operation zu werden. CERT erinnerte die Leser jedoch in der oben genannten Erklärung daran, dass „das Aktualisieren eines Produkts oder einer Software ein heikler Vorgang ist, der mit Vorsicht durchgeführt werden muss“ und dass „es empfohlen wird, so viele Tests wie möglich durchzuführen“.

Auch VMWare hat sich zu der Situation geäußert

Zusammen mit CERT und verschiedenen anderen Einrichtungen hat auch VMWare einen Beitrag zu diesem globalen Angriff veröffentlicht. In einem VMWare-Advisory wurde geschrieben, dass die Server-Schwachstelle (bekannt als CVE-2021-21974) böswilligen Akteuren die Möglichkeit geben könnte, „das Heap-Overflow-Problem im OpenSLP-Dienst auszulösen, was zur Remote-Code-Ausführung führt“.

VMWare stellte außerdem fest, dass es im Februar 2021 einen Patch für diese Schwachstelle herausgegeben hat, der verwendet werden kann, um den Angriffsvektor der böswilligen Betreiber zu unterbrechen und somit zu vermeiden, gezielt angegriffen zu werden.

Dieser Angriff scheint nicht staatlich geführt zu sein

Obwohl die Identität der Angreifer in dieser Kampagne noch nicht bekannt ist, wurde von der italienischen National Cybersecurity Agency (ACN) gesagt, dass es derzeit keine Beweise dafür gibt, dass der Angriff von einer staatlichen Stelle durchgeführt wurde (wie von Reuters berichtet ). Von diesem Angriff waren verschiedene italienische Organisationen sowie Organisationen in Frankreich, den USA, Deutschland und Kanada betroffen.

Es wurden Vorschläge gemacht, wer für diese Kampagne verantwortlich sein könnte, wobei Software aus verschiedenen Ransomware-Familien wie BlackCat, Agenda und Nokoyawa in Betracht gezogen wird. Die Zeit wird zeigen, ob die Identität der Betreiber aufgedeckt werden kann.

Ransomware-Angriffe stellen weiterhin ein großes Risiko dar

Im Laufe der Jahre werden immer mehr Organisationen Opfer von Ransomware-Angriffen. Diese Form der Cyberkriminalität ist bei böswilligen Akteuren unglaublich beliebt geworden, wobei dieser globale VMWare-Hack zeigt, wie weitreichend die Folgen sein können.