Aktuell häufen sich die Meldungen über gezielte Ransomware-Attacken auf VMware ESXi bzw. die darauf laufenden virtuellen Maschinen. Typischerweise werden Lücken oder Schwachstellen von ESXi ausgenutzt oder der Zugriff ist über schwache Login/Passwort-Kombinationen und unnötig aktivierte Dienste möglich.

ESXi ist als der am weitesten verbreitete Enterprise-Hypervisor leider ein sehr lohnendes Ziel! Erhält der Angreifer privilegierten Zugriff auf die zentrale Virtualisierungslösung in einer IT-Umgebung ist der Weg zur Verschlüsselung oder Löschung aller VMs nicht mehr weit.
Genug Panik geschürt? Der Stressball liegt schon in Stücke zerfetzt im Papierkorb? Fangen wir am besten am Anfang an…

Worum geht es? Ein kurzer, unvollständiger Abriss des bisherigen Malware-Jahrs 2021

Anfang März 2021 haben Angreifer eine OpenSLP-Schwachstelle (CVE-2019-5544, CVE-2020-3992) im ESXi ausgenutzt, um Zugriff auf den Hypervisor und somit auch auf die virtuellen Maschinen zu erhalten. Beide Schwachstellen sind „alte Bekannte“, die VMware bereits 2019 bzw. 2020 geschlossen hatte. Dennoch wurden Anfang 2021 noch immer erfolgreiche Angriffe über diese Lücken durchgeführt.

Im Juni 2021 trat Freak auf den Plan. Diese Multi-Plattform-Malware attackiert primär Windows- und Linux-Systeme, greift aber in aktuellen Versionen auch dedizierte Schwachstellen in der vCenter Server Appliance an. Bereits im Februar veröffentlichte VMware entsprechende Workarounds bzw. Patches, um verwundbare vCenter-Systeme abzusichern. Das BSI stufte die Tragweite der Schwachstelle als Bedrohungslage „2 /Gelb“ ein und veröffentlichte eine Sicherheitswarnung!

HelloKitty und BlackMatter entdecken ESXi als Ziel

Ebenfalls schlug im Sommer 2021 (Juli/August) die Stunde von HelloKitty und BlackMatter, die in angepassten Versionen nun ebenfalls ESXi als lohnendes Ziel entdeckt haben und angreifen können.

Aktueller und vor allem gut dokumentiert ist eine Bedrohung aus dem Oktober 2021. Angreifern ist es scheinbar gelungen, eine in Python geschriebene Malware lokal auf einem ESXi-Server zu starten und innerhalb kürzester Zeit alle virtuellen Maschinen komplett zu verschlüsseln. Laut Sophos wurde das Skript auf dem ESXi-Server zur Ausführung gebracht, nachdem es gelungen war, über ein TeamViewer-Konto den Zugriff auf ein IT-System mit angemeldeten Domänen-Administrator zu erhalten. Vom Zugriff über TeamViewer bis zum Auffinden eines angreifbaren ESXi vergingen nur etwa zehn Minuten!

Komplette IT in drei Stunden verschlüsselt

Der Zugriff und die Ausführung der fatalen Python-Malware auf dem ESXi war auch hier durch eine aktive ESXi-Shell via SSH möglich, die standardmäßig deaktiviert ist. Eine Brute-Force-Attacke auf den root-Account ist in Anbetracht der Zeit wohl nicht möglich. Vermutlich war das root-Passwort für den ESXi-Server zentral abgelegt und konnte als Domänen-Administrator so leicht in Erfahrung gebracht werden. Keine drei Stunden später war die komplette IT-Umgebung des Opfers verschlüsselt!

Und das Fazit lautet?

Vom Ablauf her sehen die Angriffe oftmals identisch aus: Die Angreifer versuchen über bekannte, häufig bereits länger geschlossene Schwachstellen oder Brute-Force-Attacken Zugriff auf die ESXi-Shell zu erlangen. Dann nutzen sie vorhandene Werkzeuge wie „esxcli“, um die lokale Firewall zu deaktivieren, VMs zu stoppen und mit ebenfalls vorhandenen oder automatisiert nachgeladenen Tools zu verschlüsseln.
Die dafür notwendigen Management-Zugänge zu ESXi-Systemen sind dabei selten aus dem Internet direkt zu erreichen, sondern befinden sich typischerweise im internen Netzwerk oder sogar innerhalb eines dedizierten Management-Netzwerkes mit beschränkten Zugriffsrechten.

Wie kann ich mich nun schützen?

Eins vorab: Ein 100-prozentiger Schutz vor derartigen Attacken ist nicht möglich! Das Ziel jeglicher Aktivitäten muss daher sein, die Hürden möglichst hochzulegen. Der Aufwand auf Seiten des Eindringlings muss so hoch bzw. teuer werden, dass der Angriff sich nicht mehr lohnt und man sich leichtere Ziele sucht.

Wir haben im Folgenden eine TOP-5-Liste erzeugt, die als Übersicht und Empfehlung dienen soll:

Halten Sie VMware ESXi und vCenter auf aktuellem Stand!

Sicherlich das einfachste Mittel, um viele Angriffsoptionen im Keim zu ersticken! Oftmals werden Updates und Upgrades aber lange aufgeschoben oder gar nicht installiert, da der komplette Update-Prozess durchaus ein komplexes Vorhaben sein kann! Mit unseren VMware Guided Upgrade bietet die Concat AG genau die Unterstützung an, um die Komplexität zu minimieren und Updates/Upgrades sicher und zeitnah einzuspielen.

Wenden Sie Workarounds an, falls Updates unmöglich sind oder noch nicht zur Verfügung stehen!

Falls Updates oder Patches nicht eingespielt werden können, empfiehlt es sich, Workarounds zu implementieren. Häufig bringen Workarounds negative Auswirkungen und Abhängigkeiten mit sich. Hier gilt es, vorab Aufwand, Nutzen und Risiko abzuschätzen und eine Entscheidung zu treffen, ob der Workaround eingerichtet wird oder nicht. Unsere Consultants und System Engineers unterstützen dabei gerne, sowohl bei der Bewertung als auch bei der Implementierung von einzelnen Workarounds.

Bewerten, analysieren und härten Sie nicht nur die VMware-Lösungen!

  • Neben der Analyse und Härtung von VMware-Lösungen sollte die Administration das Augenmerk auch auf den restlichen IT-Stack richten:
  • Kann ich administrative Zugriffe weiter einschränken, ist „Zero Trust“ ein Thema, das ich strategisch verfolgen sollte?
  • Wird überall, wo es möglich ist, ein zweiter Faktor (2FA) zur zusätzlichen Sicherheit genutzt?
  • Speichere ich Zugänge und Passwörter ausschließlich an einem sicheren Ort wie z. B. einen Passwort-Safe oder -manager?
  • Wurden administrative Zugänge zu zentralen Systemen wie Storage, Server & Netzwerk zusätzlich abgesichert oder deaktiviert?
  • Muss jeder Mitarbeiter der IT-Abteilung Domänen-Administrator sein?
  • Benötigen externe Dienstleister tatsächlich einen permanenten VPN-Zugang in mein Rechenzentrum?
  • Muss TeamViewer auf jeden Server in meiner Domäne installiert werden?
  • Ist mein Backup als „Last Line of Defence“ sicher vor Ransomware?

Diese Liste lässt sich beliebig fortsetzen. Die Concat AG bietet auch für diese eher allgemeinen IT-Sicherheits-Fragestellungen ihre Hilfe an. Unsere Experten aus der entsprechenden Fachabteilung können mit einer Security-Analyse die Basis für alle weiteren Diskussionen und Betrachtungen legen.

Für das Thema Ransomware-sicheres Backup haben wir gemeinsam mit HPE und Veeam eine spezielle Lösung entwickelt, die genau dieser Herausforderung Rechnung trägt!

Führen Sie Next-Gen Security-Lösungen wie Managed detection and response (MDR) oder Endpoint detection and response (EDR) ein!

Klassische Anti-Virus-Lösungen sind abhängig von Signaturen und können komplexe, mehrstufige Angriffe kaum erkennen und verhindern. Um ernsthaft eine Chance gegen Ransomware-Angriffe zu haben, ist es erforderlich, bereits die ersten Angriffsstufen zu erkennen und zu unterbinden. Aktuelle Security-Lösungen wie Carbon Black von VMware setzen genau an dieser Stelle an und erkennen ungewöhnliche Aktivitäten bereits an den Endgeräten. Die Malware wird somit direkt daran gehindert, sich im Netzwerk auszubreiten, weitere Opfer zu finden und zu verschlüsseln. Unsere Consultants unterstützen auch hier gerne bei der Bewertung, Auswahl und Implementation einer solchen Next-Gen Security-Lösung.

Sensibilisieren Sie Mitarbeiter, IT-Administration und Chefetage!

Technische Lösungen sind ein wichtiger Bestandteil einer erfolgreichen IT-Sicherheits-Strategie. Doch am Ende sitzen immer noch Menschen vor den Endgeräten und öffnen unbekannte E-Mail-Anhänge, stecken fremde USB-Sticks ein oder laden fragwürdige Inhalte aus dem Internet herunter.
Die konsequente Sensibilisierung aller Mitarbeiter inkl. der IT-Abteilung ist vermutlich der effektivste Weg, um Angriffe erfolgreich zu verhindern! Das Bewusstsein zu schaffen, dass jeder innerhalb der Organisation mithelfen muss, um ein angemessenes Schutzniveau zu erreichen, ist der wichtigste Schritt. Diese Maßnahmen enden aber nicht beim einzelnen Mitarbeiter, sondern sollten initial und ohne Ausnahme durch die Chefetage unterstützt werden.

Chefs, die Trainings selbst nicht absolvieren und die Ausnahmeregelungen von den Security Policies haben, sind kein Vorbild, sondern eine Sicherheitslücke!

Die Concat AG bietet Workshops für die unterschiedlichen Ebenen innerhalb einer Organisation an, um die verschiedenen Zielgruppen über das Thema IT-Sicherheit zu sensibilisieren und gemeinsam eine passende Strategie zu entwickeln und umzusetzen.

Weiterführende Informationen zu Malware-Versionen, Angriffsmustern, Lösungen, Workarounds und mehr:

CVE-2019-5544: https://www.vmware.com/security/advisories/VMSA-2019-0022.html

CVE-2020-3992: https://www.vmware.com/security/advisories/VMSA-2020-0023.html

FreakOut: https://www.bleepingcomputer.com/news/security/freakout-malware-worms-its-way-into-vulnerable-vmware-servers/

BSI Sicherheitswarnung: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-189544.pdf

HelloKitty: https://www.bleepingcomputer.com/news/security/linux-version-of-hellokitty-ransomware-targets-vmware-esxi-servers/

BlackMatter: https://www.bleepingcomputer.com/news/security/linux-version-of-blackmatter-ransomware-targets-vmware-esxi-servers/

https://threatpost.com/vmware-esxi-encrypted-python-script-ransomware/175374/

https://news.sophos.com/en-us/2021/10/05/python-ransomware-script-targets-esxi-server-for-encryption/

https://www.bleepingcomputer.com/news/security/ransomware-gang-encrypts-vmware-esxi-servers-with-python-script/

https://www.bleepingcomputer.com/news/security/linux-version-of-blackmatter-ransomware-targets-vmware-esxi-servers/

Python Malware: https://www.zdnet.de/88397064/ransomware-attackiert-vmware/

Carbon Black: https://www.vmware.com/products/carbon-black-cloud-endpoint.html

https://core.vmware.com/ransomware

https://blogs.vmware.com/security/2021/10/moving-left-of-the-ransomware-boom.html

BSI Lagebericht 2021: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Ich möchte mehr erfahren über VMware Guided Upgrade

ESXI-Schwachstelle: Wie Sie Hackern ein Schnippchen schlagen