
Kritische Sicherheitslücke in VMware ESXi: Globale Angriffswelle legte vermutlich auch hunderte deutsche Unternehmen lahm
von Tina Siering

Eine kritische Sicherheitslücke in der Virtualisierungslösung „ESXi“ des Herstellers VMware wird derzeit aktiv von Cyberkriminellen ausgenutzt, um weltweit sogenannte ESXi-Server anzugreifen. Nach Medienberichten scheinen alleine in Deutschland bereits hunderte Unternehmen und Institutionen von der Angriffswelle betroffen.
Die Täter nutzen eine seit längerem bekannte und bereits seit Februar 2021 vom Hersteller gepatchte Schwachstelle im OpenSLP Service der Anwendung aus, um Schadcode auszuführen und eine Ransomware namens “Nevada” einzuschleusen, mit der sich die virtuellen Festplatten von Gastsystemen verschlüsseln lassen.
Die Angriffe richten sich gezielt gegen ungepatchte Systeme mit den Versionen 6.5.x, 6.7.x, 7.x. Die Sicherheitslücke CVE-2021-21974 wird nach CVSS mit einem Schweregrad von 8.8 als "hoch" bewertet. Das BSI hat wegen einer geschäftskritischen Bedrohungslage die zweithöchste Warnstufe (Warnstufe 3/Orange) ausgerufen.
Handlungsempfehlung:
Wir empfehlen IT-Sicherheitsverantwortlichen, das vom Hersteller bereitgestellte Sicherheitsupdate unverzüglich einzuspielen, um die Sicherheitslücke dauerhaft zu schließen.
Als Workaround soll es laut Hersteller auch möglich sein, Attacken zu blockieren, indem das SLP-Protokoll auf ungepatchten Hypervisor-Systemen deaktiviert wird. VMware hat dazu eine Anleitung auf der Unternehmenswebsite veröffentlicht.
Weitere Informationen zur Schwachstelle und der aktuellen Angriffswelle stellt das BSI in seiner Cyber-Sicherheitswarnung bereit.