Am 19. März 2025 veröffentlichte Sicherheitsexperte Nital Ruzin eine brisante Analyse zu aktiven Angriffen auf VMware-Umgebungen. Die Ausnutzung dreier kritischer Schwachstellen (CVE-2025-22224, -22225, -22226) ermöglicht sogenannten VM Escapes, bei denen Angreifer aus einer kompromittierten virtuellen Maschine ausbrechen und Kontrolle über den Hypervisor (ESXi) erlangen – eine Eintrittskarte für die großflächige Ransomware-Verteilung.
Ein Angreifer kompromittiert eine Webserver-VM in der DMZ eines Paketdienstleisters und nutzt anschließend die Schwachstellen in VMware aus, um in die Virtualisierungsschicht vorzudringen. Dort angekommen, extrahiert er Anmeldedaten, übernimmt den vCenter-Zugang und verschlüsselt VMs – inklusive Backup-Daten.
Kritische Erkenntnisse:
- Die Angriffe erfolgen netzwerkunabhängig und bleiben oft unsichtbar für klassische Sicherheitssysteme wie EDR oder SIEM.
- Einmal im Hypervisor, können Angreifer VMs hostübergreifend lahmlegen.
- ESXi- und vCenter-Logs sind zu unstrukturiert für effizientes Sicherheitsmonitoring.
Empfohlene Maßnahmen:
- Sofortiges Patchen betroffener Systeme
- Netzwerk- und Virtualisierungssegmentierung zur Begrenzung des Angriffsradius
- Monitoring auch auf Hypervisor-Ebene und Einsatz von Honeypots (Canaries)
- Einführung eines „Blast Radius“-Designs, um Auswirkungen eines Angriffs einzudämmen
Virtualisierte Infrastrukturen sind längst ins Visier von Ransomware-Gruppen geraten. Unternehmen müssen sich von der Illusion absoluter Sicherheit verabschieden und ihre Architektur proaktiv auf Widerstandsfähigkeit und Schadensbegrenzung ausrichten.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: