Neue Sicherheitslücke in VMware vCenter

Hacker könnten Ransomware platzieren

01.06.2021
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
VMware hat massive Sicherheitsprobleme. Nachdem bereits im Februar eine Schwachstelle in vCenter bekannt wurde, kam nun das nächste gravierende Leck zutage.
vCenter-Anwender leben derzeit gefährlich. Immer wieder tauchen Schwachstellen in VMwares Management-Lösung auf.
vCenter-Anwender leben derzeit gefährlich. Immer wieder tauchen Schwachstellen in VMwares Management-Lösung auf.
Foto: Gajus - shutterstock.com

VMware muss wieder einmal ein größeres Sicherheitsloch in seiner Plattform stopfen. Diesmal hat es erneut vCenter getroffen, die zentrale Management-Plattform für virtualisierte IT-Infrastrukturen. Betroffen sind die Release-Stände 6.5, 6.7 und 7.0. Die Lücke mit der offiziellen Bezeichnung CVE-2021-21985 nutzt eine Schwachstelle im vSAN-Plugin von vCenter aus. Das Problem dabei: Dieses Plugin ist von Haus aus standardmäßig aktiviert. Damit sind auch vCenter-Anwender betroffen, die dieses Werkzeug nicht nutzen.

Die Folgen der Sicherheitslücke können gravierend sein. Angreifer könnten sich theoretisch über den Port 443 bis zum zentralen Host-System durchhangeln und dort beliebigen Schadcode ablaufen lassen. Eine Firewall an diesem Port könnte die letzte Verteidigungslinie sein, schreiben die VMware-Verantwortlichen in einer FAQ zu dem Problem. „Unternehmen, die ihre vCenter-Server in Netzwerken platziert haben, die direkt vom Internet aus zugänglich sind, verfügen möglicherweise nicht über diese Verteidigungslinie und sollten ihre Systeme auf Kompromittierung überprüfen“, rät der Softwarehersteller seinen Kunden. „Sie sollten auch Maßnahmen ergreifen, um mehr Perimeter-Sicherheitskontrollen wie Firewalls und Access Control Lists (ACLs) an den Verwaltungsschnittstellen ihrer Infrastruktur zu implementieren.“

Im Zuge des jüngsten Vorfalls schlägt VMware Alarm: „Dies erfordert Ihre sofortige Aufmerksamkeit, wenn Sie vCenter Server verwenden“, hieß es in einem Blog-Post. Angesichts des immer massiveren Ransomware-Aufkommens sei es für Anwender am sichersten, vom Schlimmsten auszugehen und damit zu rechnen, dass ein Angreifer bereits irgendwo im Netzwerk steckt, auf einem Desktop, und vielleicht sogar ein Benutzerkonto unter seine Kontrolle gebracht hat. „Wir empfehlen dringend, Notfallpläne aufzustellen und so schnell wie möglich zu patchen.“

Hacker nehmen VMware-Produkte aufs Korn

VMware hat bereits Patches zur Verfügung gestellt. Sollte ein Update nicht möglich sein, bleibe als letzter Ausweg, Plugins im vCenter-Server auszuschalten. Der Hersteller hat bereits Anleitungen dafür veröffentlicht. Allerdings behindere das Abschalten des betroffenen vSAN-Plugins den Betrieb und vor allem das Monitoring von vCenter-Umgebungen, warnten die Verantwortlichen. Man sollte das Plugin daher eigentlich nur für kurze Zeit außer Betrieb nehmen. Mit den angebotenen Patches will VMware seinen Kunden eine verbesserte Authentifizierung beim Zugriff auf vCenter-Plugins bieten. Ob das mit allen Plugins, gerade von Drittanbietern, reibungslos funktioniere, könne allerdings nicht garantiert werden.

Bereits im Februar dieses Jahres stand VMware in den Schlagzeilen. Eine Schwachstelle im vSphere Client, ein Plugin von vCenter, über das Administratoren VMware-Produkte auf verschiedensten Devices im Netz steuern und managen können, erlaubte Hackern, die Kon­trolle über betroffene Geräte zu übernehmen und dort Schadcode auszuführen. Scans von Security-Experten ergaben, das etwa 6.700 angreifbare vCenter-Server im Netz hingen. Ebenfalls im Februar 2021 wurde bekannt, dass Cyberkriminelle Schwachstellen in VMware ESXi (CVI-2019-5544 und CVI-2020-3992) aus­genutzt haben, um virtuelle Maschinen in Unternehmensnetzen zu kompromittieren und dort Ransomware zu platzieren. Die Attacken begannen bereits im Oktober 2020.

Angesichts der jüngsten Security-Vorfälle rund um VMware-Produkte empfahl der Hersteller seinen Kunden, grundsätzlich mehr Augenmerk auf die IT Security zu legen. Die Probleme beträfen schließlich nicht nur VMware-Software. Mehr Kontrollstellen würden dabei allerdings nicht ausreichen. Es gehe darum, Netzwerke effizienter voneinander zu trennen. "Ransomware-Banden haben wiederholt demonstriert, dass sie in der Lage sind, Unternehmensnetzwerke zu kom­promittieren, indem sie extrem geduldig auf eine neue Schwachstelle warten, um dann von innerhalb eines Netzwerks an­zugreifen", hieß es seitens der VMware-Verantwortlichen. Unternehmen sollten zusätzliche Sicherheitskontrollen einrichten und in Betracht ziehen, ihre IT-Infrastruktur von anderen Teilen des Unternehmensnetzwerks zu isolieren. Der Softwarehersteller rät den Anwendern, moderne Zero-Trust-Sicherheitsstrategien zu implementieren.