Ransomware-Attacke nimmt ESXi-Server unter Beschuss

Ein weltweit angelegter Ransomware-Angriff hat Tausende Server getroffen, auf denen die Virtualisierungssoftware «ESXi» von VMware läuft. Dies meldet das deutsche Bundesamt für Sicherheit und Informationstechnik, BSI.

Zuerst entdeckt wurde der Angriff durch das französische Computer Emergency Response Team (CERT-FR). Aktuellen Berichten zufolge wurden Server in Frankreich, Deutschland, Finnland, den USA und Kanada angegriffen – wohl keine abschliessende Liste. Wie CERT-FR berichtet, wurde für den Angriff die Sicherheitslücke CVE-2021-21974 ausnutzt. Diese befindet sich im Service Location Protokoll und ermöglicht den Angreifern, aus der Ferne Code auszuführen. Aktuell betroffen sind die Versionen 6 bis 6.7. Auf die Attacken folgten in einigen Fällen Lösegeldforderungen. Bis zu 23'000 US-Dollar werden gefordert, meldete das Portal DarkFeed. Über verschiedene Bitcoin-Wallets solle die Transaktion erfolgen.

Administratoren wird empfohlen, auf die neueste ESXi-Version zu aktualisieren. Ob es nutzt? Der Patch, welcher die ausgenutzte Lücke schliesst, gäbe es eigentlich schon seit 2021. Sicherheitsforscher rufen zudem dazu auf, System-Scans durchzuführen und den gefährdeten Port (427) allenfalls zu schliessen, sofern dadurch der Betrieb nicht leide.

«Patching-Faulheit» bemängelt auch das nationale Zentrum für Cybersicherheit aus der Schweiz – zum Beispiel im Zusammenhang mit Sicherheitslücken bei Microsoft Exchange.