VMWare ESXi: Angriffe auf 2 Jahre alte Lücke

Die italienische Cybersicherheitsbehörde ACN warnt Unternehmen aktuell vor einer Hackergruppe, die eine seit zwei Jahren behobene Lücke in VMWare ESXi ausnutzt. Auch französische, britische, US-amerikanische und kanadische Stellen meldeten entsprechende Angriffe.

Da auf den infizierten Systemen möglicherweise auch Schadcode hinterlassen wurde, reicht es nicht aus, den seit zwei Jahren verfügbaren Fix aufzuspielen. Bei den angegriffenen Systemen ist zusätzlich zum Patch eine umfangreiche Diagnose notwendig.

Sicherheitslücke CVE-2021-21972

Zwar gibt die Warnung seitens der ACN nicht bekannt, welche Sicherheitslücke genau ausgenutzt wird, im Februar 2021 wurde allerdings eine entsprechende gefährliche Lücke behoben. CVE-2021-21972 war zum damligen Zeitpunkt bereits seit einem Jahr bekannt.

Der Entdecker, Sicherheitsforscher Mikhail Klyuchnikov, konnte damit etwa unautorisierte Anfragen an das Webpanel des vSphere-Clients senden. VSXi ist der Hypervisor von vSphere und folglich direkt damit verbunden. Die Directory-Traversal-Lücke ermöglicht es, Dateien an beliebigen Stellen des verwundbaren Systems mittels einfacher Zeichenfolgen zu entpacken.

Da vSphere ohne zusätzliche User-Einstellungen aus dem Web erreichbar sind, ist der Dienst stets durch die Lücke angreifbar. AngreiferInnen müssen lediglich massenweise nach nicht aktualisierten Geräten scannen, um auf diverse Dienste zugreifen zu können.

Besonders problematisch: Auf auf Github ist sogar ein kostenloses und leicht abrufbares Expoloit zu finden.