Im Jahr 2024 stand VMware aufgrund von Sicherheitslücken in seinen Produkten, insbesondere im vCenter Server und in Aria Automation, vor erheblichen Sicherheitsherausforderungen. Diese Schwachstellen wurden in Cyberangriffen ausgenutzt, insbesondere Chinesische organisierte Hackergruppe UNC3886 steht im Verdacht, die Zero-Day Vulnerabililties gezielt seit 2 Jahren auszunutzen. Diese Gruppe ist dafür bekannt, Sicherheitslücken in Technologien auszunutzen, die keine Endpoint Detection and Response (EDR) Lösungen unterstützen, um unentdeckt zu bleiben.
UNC3886 konzentriert sich auf Organisationen in den Bereichen Verteidigung, Regierung, Telekommunikation und Technologie in den Vereinigten Staaten und der APJ-Region. Die Gruppe zielt speziell auf Zero-Day-Sicherheitslücken in Firewall- und Virtualisierungstechnologien ab, die keine EDR-Fähigkeiten aufweisen, was es einfacher macht, ihre Angriffe unentdeckt durchzuführen. In einer früheren Kampagne wurde bekannt, dass UNC3886 auch eine Zero-Day-Sicherheitslücke in Fortinet (CVE-2022-41328) ausgenutzt hat, um FortiGate-Firewall-Geräte zu kompromittieren und bisher unbekannte Backdoors Castletap und Thincrust zu installieren.
UNC3886 nutzte die Lücke CVE-2023-34048, um privilegierten Zugriff auf das vCenter-System zu erlangen und alle ESXi-Hosts sowie die an das System angeschlossenen Gast-Virtual Machines zu erfassen. In der nächsten Angriffsphase wurden Klartext-„vpxuser“-Anmeldeinformationen für die Hosts abgerufen und verwendet, um die Malware VIRTUALPITA und VIRTUALPIE auf den Hosts zu installieren, was den Angreifern direkten Zugriff auf die Hosts ermöglichte.
Sicherheitslücke im vCenter Server (CVE-2023-34048)
Die Lücke hat eine CVE Bewertung von 9.8/10, was auf keinem Fall ignoriert werden sollte, und in den meisten Fällen zur massenhaften Ausnutzung durch Hacker führt.
- Art der Schwachstelle: Es handelt sich um ein Problem mit dem Schreiben außerhalb der Grenzen, das mit der Implementierung des DCERPC-Protokolls im vCenter Server zusammenhängt. Angreifer mit Netzwerkzugriff können dadurch beliebigen Code aus der Ferne ausführen.
- Reaktion von VMware: VMware hat bereits im Oktober 2023 Patches für diese Schwachstelle veröffentlicht, auch für Produkte, die das Ende ihrer Lebensdauer erreicht hatten, aufgrund der kritischen Natur der Schwachstelle.
- Ausnutzung: Bestätigte Ausnutzung im Feld. Technische Details waren seit Anfang Dezember 2023 verfügbar, aber es scheint keine öffentliche Proof-of-Concept-Exploit zu existieren.
- Auswirkungen: Diese Schwachstelle kann bei Ausnutzung hohe Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit haben. Sie kann aus der Ferne in Angriffen geringer Komplexität ausgenutzt werden, ohne dass eine Authentifizierung oder Benutzerinteraktion erforderlich ist.
- Betroffene Server: Es wurden Hunderte potenziell anfällige, im Internet exponierte Instanzen des VMware vCenter-Servers identifiziert.
Sicherheitslücke in VMware Aria Automation (CVE-2023-34063)
Die gefundene Lücke hat eine Bewertung von 9.9/10 und gilt daher als hochkritisch.
- Sicherheitshinweis: VMware hat einen kritischen Sicherheitshinweis VMSA-2024-0001 für Schwachstellen in allen Versionen von VMware Aria Automation (früher als vRealize Automation bekannt) vor Version 8.16 herausgegeben.
- Milderung und Updates: VMware ermutigt Benutzer und Administratoren, den Sicherheitshinweis zu überprüfen und die notwendigen Updates anzuwenden. Es gibt keine bekannten Umgehungen, was die Notwendigkeit von Patches betont.
Allgemeine Sicherheitsbedenken:
- Angreifer, die VMware-Produkte ins Visier nehmen: VMware-Produkte werden häufig von bösartigen Akteuren ins Visier genommen. Der Katalog bekannter ausgenutzter Sicherheitslücken, der von der US-Sicherheitsbehörde CISA gepflegt wird, umfasst mehrere VMware-Produktfehler.
- Ransomware-Bedrohungen: Ransomware-Gruppen sind dafür bekannt, VMware ESXi-Server anzugreifen, was zu Datenverlust und Verschlüsselung führt und hohe Lösegelder fordert.
- Empfehlungen: VMware empfiehlt dringend eine strenge Kontrolle des Netzwerkperimeters für alle Managementkomponenten und Schnittstellen in vSphere und verwandten Komponenten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: