Weltweite Ransomware-Angriffe: Viele Systeme in Deutschland betroffen
Die Ransomware-Angriffe, vor denen die italienische Cyber-Sicherheitsbehörde am Wochenende warnte, betreffen dem BSI zufolge hunderte Systeme in Deutschland.
Von den Cyber-Angriffen mit Ransomware, vor denen am Wochenende die italienische Cyber-Sicherheitsbehörde ACN gewarnt hat, sind laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hunderte Systeme in Deutschland betroffen. Unterdessen hat VMware im eigenen Sicherheits-Blog zu den Vorfällen Stellung bezogen und gibt IT-Verantwortlichen Tipps zur Absicherung der Maschinen.
BSI bestätigt Ransomware-Angriffe
Das BSI hat auf die Vorfälle reagiert und sie einsortiert. Demzufolge wurden bei "einem weltweit breit gestreuten Ransomware-Angriff" tausende ESXi-Server attackiert. Der regionale Schwerpunkt der Angriffe habe dabei auf Frankreich, den USA, Deutschland und Kanada gelegen. "Auch weitere Länder sind betroffen", ergänzt die deutsche IT-Sicherheitsbehörde. Das BSI führt in der Meldung weiter aus: "Nach bisherigen Erkenntnissen scheint es in Deutschland eine mittlere dreistellige Zahl an betroffenen Systemen zu geben. Konkretere Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden sind derzeit noch nicht möglich."
In der dazu herausgegebenen Cyber-Sicherheitswarnung präzisiert das BSI: "Die Täter machten sich eine länger bekannte Schwachstelle im OpenSLP Service der Anwendung zu Nutze, bei der ein "Heap Overflow" angestoßen und dadurch letztendlich Code aus der Ferne ausgeführt werden kann. Informationen zur Sicherheitslücke selbst – die als CVE-2021-21974 geführt und nach CVSS mit einem Schweregrad von 8.8 als "hoch" bewertet wird – sowie ein Patch wurden vom Hersteller bereits im Februar 2021 veröffentlicht".
In der Warnung erläutert das BSI zudem, was IT-Verantwortliche überprüfen sollten. Der Fragenkatalog umfasst unter anderem die betroffenen VMware-Versionen, ob die bereitstehenden Patches installiert wurden oder ob weitere Maßnahmen ergriffen wurden, damit die Systeme nicht aus dem Netz erreichbar sind.
VMware reagiert ebenfalls
Auch der Hersteller der angegriffenen Software, VMware, hat mit einem eigenen Blog-Eintrag zum Sicherheitsvorfall reagiert. Das Unternehmen führt die Cyber-Angriffe unter dem Titel "‘ESXiArgs’-Ransomware-Attacken". Es betont, dass es keine Hinweise finden konnte, dass es sich um eine unbekannte Sicherheitslücke (Zero-Day) handelt, die zur Verbreitung der Ransomware genutzt werde. "Die meisten Berichte erläutern, dass EOGS-Produkte (End of General Support) und/oder deutlich veraltete Produkte mit bekannten Schwachstellen angegriffen werden, die zuvor in VMware Security Advisories (VMSAs) behandelt und offengelegt wurden", erklärt VMware.
Das Unternehmen rät, die aktuellen Versionen der vSphere-Komponenten zu installieren, um bislang bekannte Schwachstellen abzudichten. Zudem habe VMware empfohlen, den OpenSLP-Dienst in ESXi zu deaktivieren; seit dem Jahr 2021 sei der Dienst in den neuen Fassungen standardmäßig deaktiviert.
(dmk)