Attacken auf VMware ESXi: Immer noch zehntausende Server verwundbar

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Admins von VMware-ESXi-Servern sollten dringend sicherstellen, dass sie eine aktuelle, gegen derzeit laufende Attacken abgesicherte Version installiert haben. Dabei setzten Angreifer an einer "kritischen" Sicherheitslücke an, um Systeme mit Schadcode zu kompromittieren.

Verwundbare Server auch in Deutschland

Die Schwachstelle (CVE-2025-22224) und deren Ausnutzung sind seit einigen Tagen bekannt. Seitdem sind auch Sicherheitspatches verfügbar. Wie Sicherheitsforscher von Shadowserver nun in Scans zeigen, haben weltweit aber viele Admins offensichtlich bis jetzt nicht reagiert und die Installation der Updates steht noch aus. Zum Zeitpunkt dieser Meldung sind weltweit noch mehr als 41.000 Instanzen verwundbar. Davon sind knapp 2800 Server in Deutschland.

Verfügen Angreifer in einer virtuellen Maschine über Admin-Rechte, können sie aus der VM ausbrechen, um Schadcode im VMX-Prozess des Hostsystems auszuführen. Derzeit gibt es keine Informationen, wer hinter den Attacken steckt und welche Ziele betroffen sind.

Jetzt patchen!

In einer Warnmeldung geben die Entwickler von Broadcom an, dass die ESXi-Versionen ESXi70U3s-24585291, ESXi80U2d-24585300 und ESXi80U3d-24585383 gegen die Angriffe gerüstet sind. Darin wurden zudem zwei weitere Lücken geschlossen (CVE-2025-22225 "hoch", CVE-2025-222226 "hoch").

Von der kritischen Schwachstelle sind auch Cloud Foundation, Fusion, Telco Cloud Infrastructure, Telco Cloud Platform und Workstation betroffen. Informationen zu den Sicherheitspatches für diese Anwendungen sind in der Warnmeldung aufgelistet.

In einer FAQ finden Admins weitere Informationen zu den laufenden Attacken.

(des)