VMware-VM-Exploits führen zu Hypervisor-Kontrolle und Ransomware-Angriffen

Am 19. März 2025 veröffentlichte Sicherheitsexperte Nital Ruzin eine brisante Analyse zu aktiven Angriffen auf VMware-Umgebungen. Die Ausnutzung dreier kritischer Schwachstellen (CVE-2025-22224, -22225, -22226) ermöglicht sogenannten VM Escapes, bei denen Angreifer aus einer kompromittierten virtuellen Maschine ausbrechen und Kontrolle über den Hypervisor (ESXi) erlangen – eine Eintrittskarte für die großflächige Ransomware-Verteilung.

Ein Angreifer kompromittiert eine Webserver-VM in der DMZ eines Paketdienstleisters und nutzt anschließend die Schwachstellen in VMware aus, um in die Virtualisierungsschicht vorzudringen. Dort angekommen, extrahiert er Anmeldedaten, übernimmt den vCenter-Zugang und verschlüsselt VMs – inklusive Backup-Daten.

Kritische Erkenntnisse:

  • Die Angriffe erfolgen netzwerkunabhängig und bleiben oft unsichtbar für klassische Sicherheitssysteme wie EDR oder SIEM.
  • Einmal im Hypervisor, können Angreifer VMs hostübergreifend lahmlegen.
  • ESXi- und vCenter-Logs sind zu unstrukturiert für effizientes Sicherheitsmonitoring.

Empfohlene Maßnahmen:

  • Sofortiges Patchen betroffener Systeme
  • Netzwerk- und Virtualisierungssegmentierung zur Begrenzung des Angriffsradius
  • Monitoring auch auf Hypervisor-Ebene und Einsatz von Honeypots (Canaries)
  • Einführung eines “Blast Radius”-Designs, um Auswirkungen eines Angriffs einzudämmen

Virtualisierte Infrastrukturen sind längst ins Visier von Ransomware-Gruppen geraten. Unternehmen müssen sich von der Illusion absoluter Sicherheit verabschieden und ihre Architektur proaktiv auf Widerstandsfähigkeit und Schadensbegrenzung ausrichten.

Related Posts

CVE-2025-20138 CLI-Privilege Escalation in Cisco IOS XR

In Cisco IOS XR wurde eine schwerwiegende Sicherheitslücke entdeckt (CVE-2025-20138). Diese Vulnerability ermöglicht es einem authentifizierten, lokalen Angreifer, über unsichere CLI-Befehle Root-Rechte zu erlangen und somit beliebige Befehle auf dem Gerät auszuführen.

Read More

PHP 8: HTTP-Wrapper Schwachstellen erlauben HTTP Request Smuggling

PHP ist aktuell von zwei moderaten Schwachstellen betroffen, die die Verarbeitung von HTTP-Headern und Redirect-URIs in den internen Stream-Wrappern beeinträchtigen. Beide Probleme wurden in Versionen vor 8.1.32, 8.2.28, 8.3.18 und 8.4.5 festgestellt und in den folgenden Versionen behoben.

Read More

Node.js xml-crypto: XML-Signatur-Verification Bypass via Multiple SignedInfo References

Die kritische Sicherheitslücke CVE-2025-29774 wurde in der npm-Bibliothek xml-crypto entdeckt, die Versionen <= 6.0.0 betrifft. Durch das Einfügen mehrerer SignedInfo-Knoten in einem XML-Signaturblock kann ein Angreifer eine gültig signierte XML-Nachricht so manipulieren, dass sie dennoch die Signaturprüfung besteht. Dies ermöglicht das Umgehen von Authentifizierungs- und Autorisierungsmechanismen, was unter Umständen zu Privilegieneskalationen oder Identitätsübernahmen führen kann.

Read More