Runecast schützt VMware-Anwender vor VMSA-2021-0002

Am Wochenende wurde eine Ransomware-Bedrohung namens ESXiArgs bekannt, die die Sicherheitslücke CVE-2021-21974 ausnutzt. Wie Sie aus der Nummer ersehen können, handelt es sich um eine CVE, die von VMware erstmals im Jahr 2021 veröffentlicht wurde. Eine Reihe von Teams und das französische Computer Emergency Response Team (CERT-FR) warnen jedoch davor, dass böswillige Akteure diese Schwachstelle auf ungepatchten ESXi-Servern erst am 3. Februar 2023 angreifen. 

In diesem Artikel werden wir kurz darüber sprechen, was ESXiArgs ist, die zugrundeliegende Schwachstelle und wie Runecast bereits seit 2 Jahren die Infrastruktur von Organisationen vor dieser Ransomware-Bedrohung schützt, mit Abdeckung von CVE-2021-21974.

Was ist die "neue" ESXiArgs-Ransomware?

ESXi ist der Hypervisor von VMware, eine Technologie, die es Unternehmen ermöglicht, mehrere virtualisierte Computer mit mehreren Betriebssystemen auf einem einzigen physischen Server zu hosten.

Die Schwachstelle ist auf OpenSLP (auch bekannt als CIM) zurückzuführen. Da es in ESXi verwendet wird, weist OpenSLP eine Heap-Overflow-Schwachstelle auf, was bedeutet, dass "ein böswilliger Akteur, der sich im selben Netzwerksegment wie ESXi befindet und Zugriff auf Port 427 hat, in der Lage sein kann, das Heap-Overflow-Problem im OpenSLP-Dienst auszulösen, was zu Remotecodeausführung führt." - VMware-Sicherheitshinweise, VMSA-2021-0002.

Open SLP oder Service Location Protocol ist ein Diensterkennungsprotokoll, das es Computern und anderen Geräten ermöglicht, Dienste in einem lokalen Netzwerk ohne vorherige Konfiguration zu finden. Unter ESXi können Hardware-Zustandsüberwachungsdienste von Drittanbietern diesen Dienst nutzen und er war bereits Gegenstand von CVEs. 

‍

Wie diese Schadsoftware funktioniert

Die Ransomware verschlüsselt Dateien mit den Erweiterungen .vmxf, .vmx, .vmdk, .vmsd und .nvram auf kompromittierten ESXi-Servern und erstellt für jedes verschlüsselte Dokument eine .args-Datei mit Metadaten (die wahrscheinlich zur Entschlüsselung benötigt werden).

Die Opfer haben auch Erpresserbriefe mit den Namen ransom.html und How to Restore Your Files.html auf gesperrten Systemen gefunden. Andere sagten, dass ihre Notizen Klartextdateien sind.

Wenn der Server angegriffen wird, werden die folgenden Dateien im Ordner /tmp gespeichert:

• encrypt - Die ausführbare ELF-Datei des Verschlüsslers.
• encrypt.sh - Ein Shell-Skript, das als Logik für den Angriff fungiert und verschiedene Aufgaben ausführt, bevor es den Verschlüsseler ausführt, wie unten beschrieben.
• public.pem - Ein öffentlicher RSA-Schlüssel, der zum Verschlüsseln des Schlüssels für eine Datei verwendet wird.
• motd - Die Lösegeldforderung in Textform, die nach /etc/motd kopiert wird, damit sie bei der Anmeldung angezeigt wird. Die Originaldatei des Servers wird nach /etc/motd1 kopiert.
• index.html - Die Lösegeldforderung in HTML-Form, die die Startseite von VMware ESXi ersetzt. Die Originaldatei des Servers wird in index1.html im selben Ordner kopiert.

Weitere technische Informationen darüber, wie ESXiArgs seine Angriffe durchführt, finden Sie in diesem Artikel, der auf Bleeping Computer veröffentlicht wurde.

Wie man die Schwachstelle behebt

Dies sind die von CVE-2021-21974 betroffenen Systeme:

• ESXi-Versionen 7.x vor ESXi70U1c-17325551
• ESXi-Versionen 6.7.x vor ESXi670-202102401-SG
• ESXi-Versionen 6.5.x vor ESXi650-202102101-SG

Um die Schwachstelle zu beheben, wird dringend empfohlen, anfällige vCenter Server-Installationen auf die neueste Version zu aktualisieren, die die Sicherheitslücke CVE-2021-21972 behebt. 

Die Patches wurden veröffentlicht, als die Sicherheitslücke ursprünglich von VMware in VMSA-2021-0002 bekannt gegeben wurde. Eine Anleitung zum Patchen finden Sie hier.

Runecast bietet eine schmerzfreie Upgrade-Simulationsoption, die es Anwendern ermöglicht, ihre vorhandene Hardware mit der VMware-Hardware-Kompatibilitätsliste abzugleichen, was Administratoren die Zeit und den Aufwand erspart, ein Upgrade zu versuchen, ohne sich des Ergebnisses sicher zu sein. 

Der Leitfaden zur Sicherheitskonfiguration von VMware besagt, dass dieser Dienst nun standardmäßig deaktiviert werden sollte, wenn er für die Software von Drittanbietern nicht erforderlich ist. 

Wie Runecast vor VMSA-2021-0002 schützt (und das schon seit zwei Jahren)

Unsere Plattform hat seit der Ankündigung der kritischen Sicherheitslücke VMSA-2021-0002 durch VMware im Februar 2021 Informationen zur Behebung der Schwachstelle bereitgestellt und damit sichergestellt, dass die virtuellen Infrastrukturen unserer Kunden sicher bleiben. 

‍Runecastbietet automatische Überprüfungen anhand der VMware-Richtlinien, in denen empfohlen wird, diesen Dienst zu deaktivieren, sowie Knowledge-Base-Artikel, die den Prozess der Suche nach Anweisungen zur Behebung und zum Patchen dieser und vieler weiterer Sicherheitslücken automatisieren.

Während andere Anbieter Schwachstellen oft nur auf der Grundlage von Betriebssystemversion und Build-Nummer melden, verwendet Runecast dank unserer patentierten Regel-Engine einen viel ausgefeilteren Ansatz. Runecast prüft auch die Firewall-Regeln und den Status des SLP-Dienstes, da die VMware-Anleitung empfiehlt, SLP standardmäßig zu deaktivieren. Der Ansatz von Runecast besteht darin, nicht noch mehr Lärm für die Kunden zu verursachen, sondern nur zu melden, wo es echte Schwachstellen gibt, die behoben werden müssen.

‍

Wir sind stolz darauf, die Daten und Abläufe unserer Kunden geschützt zu haben, und werden unsere Lösung kontinuierlich verbessern, um der sich ständig weiterentwickelnden Sicherheitslandschaft gerecht zu werden. Runecast ist bestrebt, seinen Kunden ein Höchstmaß an Sicherheit zu bieten. 

Darüber hinaus haben wir am 24. Februar 2021 unser Update und den Link zu unserer Blog-Ankündigung zu VMSA-2021-0002 getwittert, die CVE-2021-21974 abdeckt.

Am 22. März 2021 erklärte RudiMartinsen.com in "A Second Look at Runecast":

"Nehmen wir die neueste kritische Sicherheitslücke (VMSA-2021-002) als Beispiel. Diese Runecast-Instanz hat festgestellt, dass einige vCenters in der Umgebung nicht gepatcht sind[...]"

Organisationen, die Runecast nutzen und vor allem dessen Erkenntnisse in ihren Umgebungen umsetzen, sind vor dieser Schwachstelle geschützt. Und das ist bereits seit 2021 der Fall. 

‍

Runecast hilft Ihnen, die Sicherheit Ihrer Workloads zu automatisieren

Die Cybersicherheit ist ein sich ständig veränderndes Gebiet, und es tauchen immer wieder neue Bedrohungen auf. Indem sie sich über die neuesten Erkenntnisse auf dem Laufenden halten, können Unternehmen sicherstellen, dass ihre Abwehrmaßnahmen auf dem neuesten Stand sind und gegen die neuesten Bedrohungen wirksam sind - vor allem, wenn diese "neuesten Bedrohungen" bereits vor zwei Jahren gepatcht wurden. Letztlich ist die Identifizierung von Bedrohungen und deren Behebung nicht der einzige Schritt, denn Wissen ist ohne Handeln nutzlos.

Runecast hilft Ihnen, das Risiko, Opfer dieser Art von Angriffen zu werden, zu verringern:

1. Die anspruchsvollste und vollständigste VMware-Schwachstellen- und Sicherheitsbewertung mit unserer patentierten Regel-Engine.
2. Priorisierung von Schwachstellen auf der Grundlage ihres Schweregrads und Informationen über bekannte ausgenutzte Schwachstellen.
3. Schnellster Release-Zyklus für Schwachstellen und Sicherheitsstandards dank der Runecast AI Knowledge Automation Platform.
4. Bestes Preis-Leistungs-Verhältnis auf dem Markt, mit 15-minütiger agentenloser Bereitstellung und Ergebnissen.
5. Unübertroffen sichere Bereitstellungsmethoden, die Umgebungen mit Luftabdeckung unterstützen.
6. Sanierungsmöglichkeiten.

Wenn Sie Runecast regelmäßig nutzen und die Empfehlungen befolgen, können Sie das:

• Behalten Sie eine abgesicherte Konfiguration bei, um die Angriffsfläche zu verringern.
• Sparen Sie Zeit durch die Automatisierung von Abhilfemaßnahmen.
• Bleiben Sie frei von kritischen Schwachstellen mit der Priorisierung bekannter Exploits.
• Verringern Sie das Risiko, dass Malware, einschließlich Ransomware, Ihre Systeme kompromittiert, erheblich.

Runecast ist eine leistungsstarke, KI-gesteuerte Plattform, die Ihnen dabei helfen kann, das Risiko zu verringern, Opfer eines VMware-Ransomware-Angriffs zu werden. Es gibt zwar keine Lösung, die eine 100-prozentige Vorbeugung garantieren kann, aber Runecast gibt Ihnen die beste Chance, einen kostspieligen und schädlichen Angriff zu vermeiden.