ZURÜCK ZU NACHRICHTEN
EilmeldungKritisch

Kritische VMware vCenter RCE-Schwachstelle wird aktiv ausgenutzt – CISA warnt

2 Min. LesezeitQuelle: BleepingComputer

CISA bestätigt aktive Ausnutzung der kritischen RCE-Schwachstelle CVE-2024-37079 in VMware vCenter. Unternehmen müssen sofort patchen, um Kompromittierungen zu verhindern.

Kritische RCE-Schwachstelle in VMware vCenter wird in freier Wildbahn ausgenutzt – CISA warnt

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine kritische Remote-Code-Execution-(RCE)-Schwachstelle in VMware vCenter Server in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen und bestätigt damit deren aktive Ausnutzung. Bundesbehörden wurden angewiesen, ihre Systeme innerhalb von 21 Tagen – bis zum 20. August 2024 – gemäß der Binding Operational Directive (BOD) 22-01 abzusichern.

Technische Details zu CVE-2024-37079

Die Schwachstelle mit der Bezeichnung CVE-2024-37079 (CVSS-Score noch ausstehend) betrifft VMware vCenter Server, eine zentrale Management-Plattform für virtualisierte Umgebungen. Obwohl VMware noch keine vollständigen technischen Details veröffentlicht hat, wird die Lücke als RCE-Schwachstelle klassifiziert, die es nicht authentifizierten Angreifern ermöglicht, beliebigen Code auf verwundbaren Systemen auszuführen. Weitere Details umfassen:

  • Betroffene Versionen: VMware vCenter Server 7.0 und 8.0 (konkrete Patch-Versionen noch nicht bekanntgegeben).
  • Angriffsvektor: Die Ausnutzung erfolgt wahrscheinlich über den Netzwerkzugriff auf die vCenter-Server-Management-Schnittstelle.
  • Minderung: VMware hat Patches veröffentlicht; ein sofortiges Update wird dringend empfohlen.

Auswirkungen und Bedrohungslage

Der vCenter Server ist ein hochwertiges Ziel für Bedrohungsakteure, da er für die Verwaltung virtualisierter Infrastrukturen verantwortlich ist, einschließlich ESXi-Hosts, virtueller Maschinen (VMs) sowie Speicher- und Netzwerkressourcen. Eine erfolgreiche Ausnutzung von CVE-2024-37079 könnte folgende Konsequenzen haben:

  • Vollständige Kompromittierung von vCenter-Server-Instanzen.
  • Laterale Bewegung in verbundene ESXi-Hosts und VMs.
  • Datenexfiltration oder Einsatz von Ransomware in Unternehmensumgebungen.

Die Aufnahme der Schwachstelle in den KEV-Katalog der CISA unterstreicht die Dringlichkeit, da die aktive Ausnutzung darauf hindeutet, dass Bedrohungsakteure – möglicherweise Advanced Persistent Threat (APT)-Gruppen oder Ransomware-Betreiber – die Lücke bereits ausnutzen.

Empfehlungen für Sicherheitsteams

  1. Sofortiges Patchen: VMwares Sicherheitsupdates für vCenter Server unverzüglich anwenden.
  2. Netzwerksegmentierung: vCenter-Server-Instanzen von nicht vertrauenswürdigen Netzwerken isolieren, um die Angriffsfläche zu minimieren.
  3. Überwachung: Intrusion-Detection/Prevention-Systeme (IDS/IPS) einsetzen, um Ausnutzungsversuche zu erkennen.
  4. Zugriffskontrollen: Administrativen Zugriff auf vCenter Server nur autorisiertem Personal gewähren.
  5. Sicherung kritischer Systeme: Offline-Backups der virtualisierten Infrastruktur für die Wiederherstellung bereithalten.

Für Bundesbehörden ist die Einhaltung der CISA-Richtlinie verbindlich. Unternehmen des privaten Sektors werden aufgefordert, das Patchen aufgrund der bestätigten Ausnutzung in freier Wildbahn prioritär zu behandeln.

Originalbericht von Sergiu Gatlan für BleepingComputer.

Teilen

TwitterLinkedIn