[datensicherheit.de, 07.02.2023] TEHTRIS hat am 7. Februar 2023 nach eigenen Angaben eine Analyse zu der am vorherigen Wochenende bekanntgewordenen „ESXiArgs“-Ransomware-Attacke veröffentlicht. Dabei kommen die hauseigenen Experten demnach zu dem Schluss, dass den Angriffen bereits etliche Aktivitäten vorangingen, bevor die eigentliche Attacke erfolgte. Für ihre Untersuchung hätten die Sicherheitsforscher insbesondere Aktivitäten rund um den Port 427 analysiert, der bei den aktuellen Attacken von großer Bedeutung sei.

Abbildung: TEHTRIS

TEHTRIS: Spitzen von Angriffen auf Port 427 Anfang 2023

Bereits am 10. und 24. Januar 2023 Spitze von Angriffen auf Port 427

Die „ESXiArgs“-Cyber-Kampagne erhielt laut TEHTRIS ihren Namen, „da sie für jedes verschlüsselte Dokument eine ,.args’-Datei erstellt“. Dieser „ESXiArgs“-Ransomware-Attacke hätten die Cybersecurity-Forscher nun einen eigenen Blog-Beitrag gewidmet: „Er erläutert nicht nur die Hintergründe zu den Angriffen, sondern erlaubt auch Rückschlüsse auf vorangegangene Aktivitäten der Täter.“

Dank seines weltweiten Netzwerks von sogenannten Honeypots habe TEHTRIS feststellen können, „dass der am Wochenende bekannt gewordene Angriff nicht erst vor wenigen Tagen begann“. Die oben dargestellte Zeitleiste, basierend auf Daten von TEHTRIS seit dem 1. Januar 2023, zeige, dass es bereits am 10. und 24. Januar 2023 zu einer Spitze von Angriffen auf Port 427 gekommen sei – „diese Aktivitäten stiegen dann Anfang Februar wieder an“.

Die meisten über Port 427 eingehenden Angriffe auf östlichen Teil der USA, nordöstlichen Teil des asiatisch-pazifischen Raums und Westeuropa

„Einige der bösartigen IPs, die TEHTRIS in diesem Zusammenhang in seinem ,Honeypot’-Netzwerk überwacht, haben vor dem 3. Februar versucht, unter dem Radar zu bleiben.“ Sie hätten sich zwar sehr diskret verhalten, indem sie nur einen einzigen Aufruf getätigt hätten, „aber sie erreichten eine große Anzahl der ,Honeypots’“.

Betrachte man das weltweite „Honeypot“-Panel, so zeige sich, dass die meisten über Port 427 eingehenden Angriffe auf den östlichen Teil der USA, den nordöstlichen Teil des asiatisch-pazifischen Raums und Westeuropa abzielten – „und zwar praktisch auf dem gleichen Niveau“.

Weitere Informationen zum Thema:

TEHTRIS BLOG, 07.02.2023
Attacks on VMware ESXi servers

datensicherheit.de, 07.02.2023
Große Risiken für Unternehmen: Tenable warnt vor Patch-Müdigkeit / Altbekannte VMware-Schwachstelle jüngst für große Cyber-Angriffskampagne missbraucht – Unternehmen in Frankreich, Finnland und Italien am stärksten betroffenen

[datensicherheit.de, 07.02.2023] Laut einer aktuellen Meldung von Tenable sollen kürzlich Tausende von Computer-Servern Ziel eines weltweiten Ransomware-Hacking-Angriffs gewesen sein, welcher auf „VMware (VMW.N) ESXi-Server“ abgezielt habe – dies habe Italiens Nationale Agentur für Cybersicherheit (ACN) am 5. Februar 2023 mitgeteilt und Unternehmen gewarnt, um Maßnahmen zum Schutz ihrer Systeme zu ergreifen. Bei diesem Cyber-Angriff sei versucht worden, eine Software-Schwachstelle auszunutzen, habe Roberto Baldoni, „General Director“ bei der ACN, vermeldet und hinzugefügt, dass es sich um einen „massiven Angriff“ gehandelt habe.

Traurige Wahrheit: Bekannte Schwachstellen mit Exploit trotzdem von Unternehmen oft nicht gepatcht

Dieser erste Bericht habe sich mittlerweile bestätigt, denn weitere Regionen hätten ähnliche Warnungen ausgesprochen: Nach Angaben von „Politico“ seien Frankreich, Finnland und Italien die am stärksten betroffenen Länder in Europa, während die USA und Kanada ebenfalls eine hohe Zahl an Zielen aufwiesen.

„Die traurige Wahrheit ist, dass bekannte Schwachstellen, für die ein ,Exploit’ zur Verfügung steht, oft nicht gepatcht werden“, kommentiert Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, und warnt: „Dies bringt Unternehmen in eine unglaubliche Gefahr, erfolgreich infiltriert zu werden.“ In diesem Fall, bei der zwei Jahre alten „VMware“-Schwachstelle, sei die Bedrohung angesichts der aktiven Ausnutzung „immens“.

Foto: Tenable

Bernard Montel: Unternehmen müssten sich beim Patchen entscheiden – ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen…

Virtualisierung Herzstück der Cloud-Strategie der meisten Unternehmen

Virtualisierung sei das Herzstück der „Cloud“-Strategie der meisten Unternehmen – „ob On-Premises, Public- oder Hybrid-Cloud, wobei der Hypervisor das Rückgrat der IT bildet“. Angreifer wüssten, dass sie auf diese Ebene zielen könnten, um ihre Privilegien zu erhöhen und Zugang zu allem zu erhalten. Montel führt aus: „Wenn sie in der Lage sind, sich Zugang zu verschaffen, können sie Malware einschleusen, um die Hypervisor-Ebene zu infiltrieren und eine Masseninfektion zu verursachen.“

Für viele Unternehmen stelle sich die Frage nach der Betriebszeit im Vergleich zur Frage, ob ein System zum Patchen offline genommen werden sollte. In diesem Fall könnte die Rechnung nicht einfacher sein – „ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen“.

Angreifer zielen auf Schwachstellen ab, um Administratorrechte zu missbrauchen und Unternehmens-Netzwerke zu durchdringen

Montel erläutert: „Wir wissen, dass Angreifer bekannte Schwachstellen, die beliebte Software betreffen, bevorzugen – einschließlich ,Open Source’, ,VMWare’, ,ManageEngine’, ,PrintNightmare’ und ,ProxyShell’. Die Angreifer zielen auf diese Schwachstellen ab, da sie wissen, dass sie Administratorrechte missbrauchen können, um das Netzwerk zu durchdringen und Schaden anzurichten oder sogar empfindliche Informationssysteme und Daten als Erpressung zu nutzen.“

Um die Kontinuität des Geschäftsbetriebs zu gewährleisten, müssten die Sicherheitsteams herausfinden, „wie sie ausgenutzte Schwachstellen beheben und gleichzeitig die Auswirkungen auf das Unternehmen minimieren können, anstatt bekannte Schwachstellen unbehandelt zu lassen“, so Montel abschließend.

Weitere Informationen zum Thema:

POLITICO, Elena Giordano, 05.02.2023
Ransomware hacking campaign targets Europe and North America, Italy warns / France, Finland and Italy are the most affected countries in Europe, while the US and Canada also have a high number of targets

heise online, Dirk Knop, 05.02.2023
Ransomware: Italiens Cyber-Sicherheitsbehörde warnt vor weltweiter Attacke / Die italienische Cyber-Sicherheitsbehörde ACN warnt vor einer aktuellen Ransomware-Attacke, die tausende Server weltweit betreffe

datensicherheit.de, 06.02.2023
Torsten George warnt: Angriffsfläche für Endgeräte wächst – die Schwachstellen bleiben / George erörtert, wie Unternehmen im Wettrennen um Mobile Security aufholen können

[datensicherheit.de, 28.05.2021] Am 26. Mai 2021 sei bekanntgeworden, „dass zwei Schwachstellen in VMwares ,vCenter Server‘ gefunden wurden“: CVE-2021-21985 sei eine Schwachstelle für Remote-Codeausführung im „vSphere-Client“ über das Plug-in „Virtual SAN (vSAN) Health Check“, welches standardmäßig aktiviert sei. CVE-2021-21986 sei ein Problem mit dem Authentifizierungsmechanismus in verschiedenen „vCenter Server“-Plug-ins. In einem seltenen Schritt habe VMware nun einen Blogpost veröffentlicht, in welchem Ransomware-Gruppen als geschickt darin bezeichnet würden, Schwachstellen wie diese nach der Kompromittierung auszunutzen, nachdem sie sich über andere Wege wie „Spearphishing“ Zugang zu einem Netzwerk verschafft hätten.

Foto: Tenable

Claire Tills warnt: Schwachstellen wie diese nach Kompromittierung auszunutzen, nachdem z.B. über Spearphishing Zugang zum Netzwerk verschafft wurde

VMware meldet zwei Schwachstellen, die vCenter Server betreffen

„VMware hat zwei Schwachstellen bekanntgegeben, die ,vCenter Server‘ betreffen, eine zentrale Management-Software für ,VMware vSphere‘-Systeme. Bei der schwerwiegendsten Schwachstelle, ,CVE-2021-21985‘, handelt es sich um eine Schwachstelle für Remote-Codeausführung in ,vSphere Client‘, die mit einem ,CVSSv3‘-Score von 9,8 bewertet wurde“, berichtet Claire Tills, „Senior Research Engineer“ bei Tenable in ihrem aktuellen Kommentar zu diesen neu entdeckten Schwachstellen.
Um diese Schwachstelle auszunutzen, müsste ein Angreifer in der Lage sein, über Port 443 in der Firewall auf „vCenter Server“ zuzugreifen. Selbst wenn ein Unternehmen „vCenter Server“ nicht von außen zugänglich gemacht hat, könnten Angreifer diese Schwachstelle ausnutzen, sobald sie sich in einem Netzwerk befinden.

VMware hat aus aktuellem Anlass Blog-Beitrag veröffentlicht

In einem seltenen Schritt habe VMware einen Blog-Beitrag veröffentlicht, in dem Ransomware-Gruppen darauf hingewiesen würden, dass sie geschickt darin seien, Schwachstellen wie diese nach der Kompromittierung auszunutzen, „nachdem sie sich über andere Wege wie ,Spearphishing‘ Zugang zu einem Netzwerk verschafft haben“.
Angesichts der Tatsache, dass Ransomware die Nachrichten dominiere, sei dieser Kontext wichtig und unterstreiche die Aussage von VMware, dass das Patchen dieser Schwachstellen höchste Priorität haben sollte. Eine erfolgreiche Ausnutzung würde es einem Angreifer ermöglichen, beliebige Befehle auf dem zugrundeliegenden „vCenter“-Host auszuführen.

VMware hat für beide Schwachstellen Patches zur Verfügung gestellt

VMware habe außerdem Patching für „CVE-2021-21986“ bereitgestellt, bei dem es sich um ein Problem mit dem Authentifizierungsmechanismus handele, welches in mehreren „vCenter Server“-Plug-ins gefunden worden sei. „Dieses wurde mit einem ,CVSSv3‘-Score von 6,5 als mittelschwer eingestuft.“
Tills ergänzt abschließend: „VMware hat für beide Schwachstellen Patches zur Verfügung gestellt und Unternehmen, die ,vCenter Server‘ einsetzen, wird empfohlen, sofort zu handeln.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.04.2020
Kritische Sicherheitslücke im VMware Directory Service

VMware vSphere Blog, Bob Plankers, 25.05.2021
VMSA-2021-0010: What You Need to Know

[datensicherheit.de, 21.08.2012] Malware-Autoren haben mit virtuellen Maschinen ein neues Betätigungsfeld gefunden. Das Symantec Security Response Team hat mit der Windows-Version der Crisis-Malware die erste Bedrohung für virtuelle Maschinen (VM) identifiziert.
Die Malware durchsucht den Rechner aktiv nach VMware-Images und kopiert sich in diese mit Hilfe eines VMware-Players. Damit besitzt Crisis die Funktionalität, sich in mittlerweile vier verschiedenen Umgebungen auszubreiten: Mac, Windows, Windows Mobile und virtuelle Maschinen.

Weitere Informationen zum Thema:

Symantec Connect Community, 20.08.2012
Crisis for Windows Sneaks onto Virtual Machines

[datensicherheit.de, 10.03.2011] KASPERSKY lab wird „vShield Endpoint“ unterstützen – eine Security-Architektur von VMware, die bei virtualisierten Maschinen und Hosts zum Einsatz kommt:
Damit wird der umfassende KASPERSKY-Schutz vor Schadsoftware auf virtualisierte Maschinen übertragen, ohne Kompromisse bei der Leistung zu machen. „vShield Endpoint“ ist die VMware-Architektur, die einen Schutz virtualisierter Umgebungen erlaubt, ohne dass dabei Agents der Security-Lösung auf virtuellen Maschinen installiert werden müssen. Die Virenprüfung wird dadurch nicht auf jeder virtuellen Maschine einzeln, sondern zentral erledigt. Die Leistungsfähigkeit der virtualisierten Maschinen bleibt bei gleichzeitig höchster Sicherheit vollständig erhalten.
Ihre Endpoint-Sicherheitsarchitektur sei führend. VMwarewerde eng mit KASPERSKY labzusammenarbeiten, um die stark ansteigende Zahl virtualisierter Umgebungen zu sichern und deren Leistungsfähigkeit zu erhalten. Dafür entwickelten sie gemeinsam eine hochintegrierte Lösung, so Parag Patel, Vice President, „Global Strategic Alliances“ von VMware.
KASPERSKY labfreue sich sehr darüber, „VMware vShield Endpoint“ zu unterstützen. Damit hätten ihre Kunden die Möglichkeit, ihre High-End-Sicherheit ohne Leistungsabstriche in ihre virtuellen Umgebungen und heterogenen IT-Landschaften zu integrieren – bei gleichzeitig hoher Wirtschaftlichkeit, kommentiert Nikolay Grebennikov, Chief Technology Officer von KASPERSKY lab.