Trotz Patch: Weiterhin Tausende VMware vCenter-Server angreifbar

Forscher von Trustwave Spider Labs haben mithilfe der Gerätesuchmaschine Shodan 5271 Instanzen von VMware vCenter-Servern aufgespürt, die mit dem Internet verbunden sind. Auf mindestens 4181 dieser Server läuft eine ungepatchte Version der Management-Software. Sie ist anfällig für das Einschleusen und Ausführen von Schadcode aus der Ferne.

Die fraglichen Sicherheitslücken betreffen die Versionen vCenter Server 6.5.0 Build 17994927 und früher, vCenter Server 6.7.0 Build 18010531 und früher sowie vCenter Server 7.0.2 Build 17958471 und früher. Angreifer mit einem Zugang zum Netzwerk können über eine Schwachstelle im vSphere Client Befehle mit uneingeschränkten Privilegien ausführen und auf das Host-Betriebssystem für vCenter Server zuzugreifen. Die zweite Anfälligkeit wieder erlaubt es, über den Port 443 und ohne Authentifizierung die Kontrolle über Plug-ins zu übernehmen.

Allerdings waren die Forscher nur in der Lage, Daten von 4969 Servern abzurufen. Dabei fanden sie schließlich 4019 ungepatchte Instanzen, was einem Anteil von 80,88 Prozent entspricht. Die restlichen 19,12 Prozent seien wahrscheinlich ebenfalls als unsicher einzustufen, da auf ihnen veraltete und nicht mehr unterstützte Versionen liefen.

Die benötigten Sicherheitsupdates sind seit 25. Mai erhältlich. VMware rät seitdem zu einer “sofortigen” Installation der Patches. Allerdings warnt das Unternehmen auch, dass die Updates möglicherweise die Funktion von einigen Plug-ins von Drittanbietern einschränken. Sollte es nicht möglich sein, die Patches einzuspielen, sollten betroffene Nutzer zumindest die Plug-in-Funktion abschalten, um das Risiko eines erfolgreichen Angriffs zu minimieren.

Für die schwerwiegendere der beiden Anfälligkeiten liegt zudem inzwischen Beispielcode für einen Exploit vor. Die US-Cybersicherheitsbehörde CISA sah sich zudem genötigt, mit einer eigenen Sicherheitswarnung auf das Problem aufmerksam zu machen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

14 Stunden ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

21 Stunden ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

2 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

2 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

3 Tagen ago

Pentesting: Vom Luxus zum Standard

Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich, sagt Mareen Dose von indevis.

5 Tagen ago