Ein ungepatchter Softwarefehler in den ESXi-Servern von VMWare wird von Hackern mit dem Ziel ausgenutzt, Ransomware auf der ganzen Welt zu verbreiten.
Ungepatchte VMWare-Server werden von Hackern missbraucht
Eine zwei Jahre alte Software-Schwachstelle in den ESXi-Servern von VMWare ist zum Ziel einer weit verbreiteten Hacking-Kampagne geworden. Ziel des Angriffs ist die Bereitstellung von ESXiArgs, einer neuen Ransomware-Variante. Schätzungen zufolge sind Hunderte von Organisationen betroffen.
Das französische Computer Emergency Response Team (CERT) veröffentlichte am 3. Februar eine Erklärung, in der die Art der Angriffe diskutiert wurde. Im CERT-Post, wurde geschrieben, dass die Kampagnen „scheinbar die Offenlegung von ESXi ausgenutzt haben Hypervisoren die nicht schnell genug mit Sicherheits-Patches aktualisiert wurden.“ CERT stellte außerdem fest, dass der Fehler, auf den abgezielt wird, „es einem Angreifer ermöglicht, eine entfernte Ausbeutung von willkürlichem Code durchzuführen“.
Unternehmen wurden aufgefordert, die Schwachstelle des Hypervisors zu patchen, um zu vermeiden, Opfer dieser Ransomware-Operation zu werden. CERT erinnerte die Leser jedoch in der oben genannten Erklärung daran, dass „das Aktualisieren eines Produkts oder einer Software heikel ist Betrieb, der mit Vorsicht durchgeführt werden muss," und dass "es empfohlen wird, Tests so weit wie möglich durchzuführen möglich."
Auch VMWare hat sich zu der Situation geäußert
Zusammen mit CERT und verschiedenen anderen Einrichtungen hat auch VMWare einen Beitrag zu diesem globalen Angriff veröffentlicht. In einem VMWare-Beratung, wurde geschrieben, dass die Server-Schwachstelle (bekannt als CVE-2021-21974) böswillige Akteure geben könnte die Fähigkeit, "das Heap-Overflow-Problem im OpenSLP-Dienst auszulösen, was zu Remote-Code führt Ausführung."
VMWare stellte außerdem fest, dass es im Februar 2021 einen Patch für diese Schwachstelle herausgegeben hat, der verwendet werden kann, um den Angriffsvektor der böswilligen Betreiber zu unterbrechen und somit zu vermeiden, gezielt angegriffen zu werden.
Dieser Angriff scheint nicht staatlich geführt zu sein
Obwohl die Identität der Angreifer in dieser Kampagne noch nicht bekannt ist, wurde dies von Italiens National Cybersecurity mitgeteilt Agency (ACN), dass es derzeit keine Beweise dafür gibt, dass der Angriff von einer staatlichen Einrichtung durchgeführt wurde (wie von berichtet Reuters). Von diesem Angriff waren verschiedene italienische Organisationen sowie Organisationen in Frankreich, den USA, Deutschland und Kanada betroffen.
Es wurden Vorschläge gemacht, wer für diese Kampagne verantwortlich sein könnte, mit Software von verschiedenen Ransomware-Familien wie BlackCat, Agenda und Nokoyawa, in Erwägung gezogen. Die Zeit wird zeigen, ob die Identität der Betreiber aufgedeckt werden kann.
Ransomware-Angriffe stellen weiterhin ein großes Risiko dar
Im Laufe der Jahre werden immer mehr Organisationen Opfer von Ransomware-Angriffen. Diese Form der Cyberkriminalität ist bei böswilligen Akteuren unglaublich beliebt geworden, wobei dieser globale VMWare-Hack zeigt, wie weitreichend die Folgen sein können.
