VMware gab am Montag bekannt, dass es keine Beweise dafür gibt, dass Bedrohungsakteure eine unbekannte Sicherheitslücke, d.h. einen Zero-Day, in seiner Software als Teil einer weltweiten Ransomware-Angriffswelle ausnutzen.
„Die meisten Berichte besagen, dass End of General Support (EoGS) und/oder deutlich veraltete Produkte mit bekannten Schwachstellen ins Visier genommen werden, die zuvor in VMware Security Advisories (VMSAs) behandelt und veröffentlicht wurden“, so der Virtualisierungsdienstleister.
Das Unternehmen empfiehlt den Nutzern außerdem, auf die neuesten unterstützten Versionen der vSphere-Komponenten zu aktualisieren, um bekannte Probleme zu entschärfen und den OpenSLP-Dienst in ESXi zu deaktivieren.
„Ab 2021 werden ESXi 7.0 U2c und ESXi 8.0 GA mit einem standardmäßig deaktivierten Dienst ausgeliefert“, so VMware weiter.
Die Ankündigung erfolgt zu einem Zeitpunkt, an dem ungepatchte und ungesicherte VMware ESXi-Server weltweit Ziel einer groß angelegten Ransomware-Kampagne mit dem Namen ESXiArgs geworden sind, die wahrscheinlich einen zwei Jahre alten Fehler ausnutzt, den VMware im Februar 2021 gepatcht hat.
Bei der Schwachstelle mit der Bezeichnung CVE-2021-21974 (CVSS-Score: 8.8) handelt es sich um eine OpenSLP Heap-basierte Pufferüberlaufschwachstelle, die ein nicht authentifizierter Angreifer ausnutzen kann, um Remotecode auszuführen.
Die Angreifer scheinen anfällige ESXi-Server auszusuchen, die über den OpenSLP-Port 427 mit dem Internet verbunden sind. Die Opfer werden angewiesen, 2,01 Bitcoin (etwa 45.990 US-Dollar) zu zahlen, um den Verschlüsselungsschlüssel zu erhalten, der für die Wiederherstellung von Dateien erforderlich ist. Bislang wurde keine Datenexfiltration beobachtet.
Daten von GreyNoise zeigen, dass seit dem 4. Februar 2023 19 verschiedene IP-Adressen versucht haben, die ESXi-Schwachstelle auszunutzen. 18 der 19 IP-Adressen werden als gutartig eingestuft, nur ein einziger bösartiger Angriff wurde aus den Niederlanden verzeichnet.
„ESXi-Kunden sollten sicherstellen, dass ihre Daten gesichert sind und ihre ESXi-Installationen im Notfall auf eine gefixte Version aktualisieren, ohne auf einen regulären Patch-Zyklus zu warten“, sagte Rapid7-Forscherin Caitlin Condon. „ESXi-Instanzen sollten nach Möglichkeit nicht mit dem Internet verbunden sein.