Sicherheitslücke in VMWare ESXi: Update dringend erforderlich

Pünktlich zum Wochenende meldete unter anderem das französische CERT (CERT-FR) eine Angriffswelle gegen Systeme, auf denen VMWare ESXi in den Versionen 6.5.x, 6.7.x sowie 7.x läuft (Details auf der Webseite von VMWare sowie auf Bleepingcomputer). Das Brisante daran: Die Sicherheitslücke mit der Kennung CVE-2021-21974 ist bereits seit zwei Jahren bekannt und gepatcht. Die Angriffe richten sich also gezielt gegen ungepatchte Systeme. Die Schwachstelle hat einen Kritikalitätswert von 8.8 – die höchstmögliche Zahl ist 10. Viel kritischer wird es also nicht.  

Auf erfolgreich angegriffenen Systemen wird die Nevada-Ransomware installiert, die unter anderem die virtuellen Festplatten der Gastsysteme verschlüsselt (Dateiendungen *vmdk, *vmx, *vmsd und andere). Wer bisher die Patches nicht installiert hat, sollte hier schnellstens aktiv werden. Verschlüsselte Systeme sorgen teilweise für Ausfälle, unter anderem bei einem italienischen Telekommunikationsanbieter.

Um Angriffe zumindest vorerst zu blockieren, wird empfohlen, das SLP-Protokoll auf ungepatchten Hypervisor-Systemen zu deaktivieren. Dazu sind in der Shell die folgenden Kommandos erforderlich:

/etc/init.d/slpd stop 

esxcli network firewall ruleset set -r CIMSLP -e 0 

chkconfig slpd off

Ausführliche Informationen finden sich in der VMWare Knowledge Base.
Auch wenn es keine erkennbaren Zeichen eines Angriffs gibt, lohnt es sich nach IoC (Indicators of Compromise) zu suchen.

Diese aktuelle Angriffswelle zeigt wieder einmal, wie wichtig es ist, Patches zu installieren. Auch eine alte Sicherheitslücke kann zum Problem werden – manchmal auch erst Jahre später, wie in diesem Falle. Beispiele dafür gibt es genug. Eines der berühmtesten Beispiele, bei dem auch Heimanwender betroffen waren, ist WannaCry. Die hier zugrunde liegende Lücke war zum Zeitpunkt des Ausbruchs bereits seit einem Vierteljahr bekannt und gepatcht.

Einem Bericht des IT-Portals Heise zur Folge hat die US-amerikanische Sicherheitsbehörde CISA (Cybersecurity & Infrastructure Security Agency) ein Skript veröffenlticht, das betroffene Systeme wiederherstellen kann. Dabei werden Kopien der VM-Dateien genutzt, die von der ausgerollten Ransomware normalerweise nicht verschlüsselt werden. Ein entsprechendes Git-Repository ist vorhanden. Allerdings ist auch dieses Skript kein hundertprozentiger Garant für eine erfolgreiche Wiederherstellung. 

Nachdem die US-Cybersicherheitsbehörde CISA eine Anleitung und ein Skript zur Wiederherstellung verschlüsselter Systeme bereitgestellt hatte, haben die Macher der über die Sicherheitslücke installierten Ransomware nachgezogen. Die ESXiArgs-Variante hat nun in einer zweiten Infektionswelle Änderungen an der Verschlüsselung der Daten vorgenommen. Diese Änderungen bewirken, dass selbst unter Zuhilfenahme des verfügbaren Skriptes eine Wiederherstellung der Daten unmöglich wird. Das berichtet unter anderem Bleepingcomputer.

Um möglichst schnell verschlüsseln zu können, werden in diesem Fall durch die Ransomware nur Teile betroffener Dateien verschlüsselt. Die Dateien sind dann zwar unbrauchbar, aber zu einem großen Teil eigentlich unverschlüsselt. Auf diesem Weg kann die Ransomware auch extrem große Dateien schnell "durcharbeiten". Die aktuelle Änderung bedeutet, dass nun wesentlich größere Teile der Dateien verschlüsselt werden - und eine Wiederherstellung unmöglich wird. Diese Art des Katz-und-Maus-Spiels ist durchaus üblich - nun liegt der Ball wieder in der Spielhälfte der Verteidiger. 

Es steht jedoch unumstößlich fest, dass diejenigen Unternehmen, die von diesen Angriffswellen betroffen sind, nun von einer guten Backup-Strategie profitieren - sofern diese existiert.

Errata:

In der ersten Revision dieses Artikels war der Kritikalitätswert der Sicherheitslücke mit 9.8 angegeben. Dieser Wert basierte auf dem Advisory von VMWare. Die NIST-Datenbank gibt jedoch einen Wert von 8.8 an. Die entsprechende Passage wurde im Text korrigiert.