Schwerwiegende Sicherheitslücke betrifft Tausende VMware Server

Stefan Beiersmann,
VMWare (Grafik: VMware)

Angreifbar sind vCenter-Server von VMware. Hacker können die vollständige Kontrolle übernehmen und in andere Bereiche eines Unternehmensnetzwerks eindringen. Neben einem offiziellen Patch von VMware steht allerdings auch Beispielcode für einen simplen Exploit zur Verfügung.

Mehr als 6700 vCenter-Server von VMware sind derzeit anfällig für Hackerangriffe und über das Internet erreichbar. Unbefugte sind unter Umständen in der Lage, die Kontrolle über einen ungepatchten Server zu übernehmen und darüber in das gesamte Netzwerk eines Unternehmens einzudringen.

Nach Angaben des Threat-Intelligence-Anbieters Bad Packets laufen die Angriffsversuche bereits auf Hochtouren. Das Unternehmen meldet per Twitter eine Welle von Scans nach angreifbaren vCenter-Servern. Die Scans begannen gestern Morgen, nachdem ein chinesischer Sicherheitsforscher in seinem Blog Beispielcode für einen Exploit veröffentlicht hatte, der die Sicherheitslücke mit der Kennung CVE-2021-21972 ausnutzt.

Die eigentliche Schwachstelle steckt im vSphere Client, einem Plug-in für VMware vCenter. vCenter wiederum ist VMwares Management-Lösung für auf lokalen Workstations installierte VMware-Produkte. Aufgrund der zentralen Rolle eines vCenter-Servers innerhalb eines Unternehmensnetzwerks ist das Sicherheitsleck als kritisch eingestuft. Es wurde vertraulich an VMware gemeldet, das seit Dienstag einen offiziellen Patch zum Download anbietet.

Entdeckt wurde die Anfälligkeit von einem Mitarbeiter des Sicherheitsanbieters Positive Technologies. Eigentlich hatte das Unternehmen geplant, alle Details des Bugs zurückzuhalten, um Nutzern die Möglichkeit zu geben, die Patches zu testen und ihre Systeme zu aktualisieren. Die Veröffentlichung eines Proof-of-Concept zwingt Betroffene nun jedoch, die Patches zumindest auf über das Internet erreichbaren Systemen unverzüglich einzuspielen.

Hinzu kommt, dass sich die Schwachstelle ohne großen Aufwand ausnutzen lässt. Ausreichend ist offenbar eine einzeilige cURL-Anfrage per HTTP.

Eine Abfrage über die Gerätesuchmaschine Shodan liefert derzeit 6700 vCenter-Server von VMware, die mit dem Internet verbunden sind. VMware rät seinen Kunden, ihre Systeme schnellstmöglich zu aktualisieren. Die Schwachstelle bewertet ist mit 9,8 Punkten im zehnstufigen Common Vulnerability Scoring Systems. v finden sich zudem inzwischen in einem Fehlerbericht, den Positive Technologies nach der Veröffentlichung des Beispielcodes bereitgestellt hat.