ZURÜCK ZU NACHRICHTEN
EilmeldungHoch

VMware ESXi-Sandbox-Escape-Schwachstelle in Ransomware-Kampagnen aktiv ausgenutzt

2 Min. LesezeitQuelle: BleepingComputer

CISA bestätigt aktive Ausnutzung der kritischen VMware ESXi-Schwachstelle CVE-2024-37085 durch Ransomware-Gruppen. Unternehmen müssen dringend Patches anwenden, um Kompromittierungen zu verhindern.

VMware ESXi-Schwachstelle in Ransomware-Angriffen ausgenutzt, CISA bestätigt

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat bestätigt, dass Ransomware-Gruppen eine schwerwiegende VMware ESXi-Sandbox-Escape-Schwachstelle aktiv ausnutzen, die zuvor bereits in Zero-Day-Angriffen verwendet wurde. Die Behörde fügte die Schwachstelle am Mittwoch ihrem Known Exploited Vulnerabilities (KEV)-Katalog hinzu und unterstrich damit die dringende Notwendigkeit für Organisationen, verfügbare Patches umgehend einzuspielen.

Technische Details zu CVE-2024-37085

Die Schwachstelle mit der Bezeichnung CVE-2024-37085 (CVSS-Score noch ausstehend) ermöglicht Angreifern mit administrativem Zugriff auf eine Gast-Virtual Machine (VM), die Sandbox zu verlassen und beliebigen Code auf dem zugrundeliegenden ESXi-Hypervisor auszuführen. Diese Art von Exploit birgt erhebliche Risiken, da sie zu einer vollständigen Systemkompromittierung, lateraler Bewegung innerhalb von Netzwerken und der Verbreitung von Ransomware oder anderen schädlichen Payloads führen kann.

VMware veröffentlichte Patches für die Schwachstelle in seinem Sicherheitshinweis vom Juni 2024, der mehrere Sicherheitslücken in den Produkten ESXi, Workstation und Fusion adressiert. Die Aufnahme von CVE-2024-37085 in den KEV-Katalog der CISA deutet jedoch darauf hin, dass ungepatchte Systeme nach wie vor ein bevorzugtes Ziel für Bedrohungsakteure sind.

Auswirkungen und Bedrohungslage

Ransomware-Gruppen, darunter solche, die mit prominenten Operationen wie LockBit und Black Basta in Verbindung stehen, haben in der Vergangenheit gezielt VMware ESXi-Umgebungen angegriffen, da diese in Unternehmens- und Cloud-Infrastrukturen weit verbreitet sind. Die Ausnutzung von CVE-2024-37085 steht im Einklang mit einem allgemeinen Trend, bei dem Angreifer Virtualisierungsplattformen ins Visier nehmen, um ihre Wirkung zu maximieren.

Organisationen, die ungepatchte ESXi-Server betreiben, riskieren:

  • Vollständige Kompromittierung des Hypervisors, wodurch Angreifer die Kontrolle über alle gehosteten VMs erlangen können.
  • Datenverschlüsselung und Exfiltration, was zu Betriebsstörungen und finanziellen Verlusten führt.
  • Laterale Bewegung in verbundene Netzwerke, wodurch das Ausmaß eines Angriffs vergrößert wird.

Empfehlungen für Sicherheitsteams

Die CISA fordert Organisationen auf, das Patchen von CVE-2024-37085 prioritär zu behandeln. Zusätzliche Maßnahmen zur Risikominderung umfassen:

  • Isolierung kritischer VMs von weniger sicheren Umgebungen, um potenzielle Schäden zu begrenzen.
  • Überwachung auf ungewöhnliche Aktivitäten auf ESXi-Hosts, wie unerwartete VM-Migrationen oder unautorisierte administrative Aktionen.
  • Implementierung von Netzwerksegmentierung, um mögliche Sicherheitsverletzungen einzudämmen.
  • Prüfung der Sicherheitshinweise von VMware auf Aktualisierungen zu verwandten Schwachstellen (z. B. CVE-2024-37086, CVE-2024-37087).

Weitere Anleitungen finden sich in der CISA-Warnmeldung sowie in der Patch-Dokumentation von VMware.

Originalbericht von Sergiu Gatlan für BleepingComputer.

Teilen

TwitterLinkedIn