Auch Deutschland ist von den weltweiten Ransomware-Angriffen betroffen

Vergangenes Wochenende hatte die italienische Behörde für Cybersicherheit ACN davor gewarnt, dass es weltweit vermehrt zu Cyberangriffen komme. In Deutschland sind laut BSI hunderte Systeme von Cyberattacken betroffen. Inzwischen informiert VMware, in einem eigenen Blog bezüglich Cybersicherheit, über die Sicherheitsvorfälle und gibt IT-Verantwortlichen Handlungstipps zur Absicherung der Systeme.

BSI Bestätigt Sicherheitsvorfälle durch Ransomware

In Deutschland hat das BSI umgehend auf die Sicherheitsvorfälle reagiert und diese entsprechend eingestuft. Nach Auswertung der vorläufigen Ergebnisse der Untersuchungen wurden durch den weltweiten Ransomware-Angriff tausende ESXi-Server attackiert. Der geografische Schwerpunkt der Cyberangriffe sei dabei auf die USA, Frankreich, Deutschland und Kanada gerichtet worden sein. Dennoch sind neben den genannten Ländern noch weitere Länder betroffen, meldete die deutsche Sicherheitsbehörde für IT. Das BSI bestätigte in einer Stellungnahme, dass die Zahl der in Deutschland betroffenen Systeme, nach bisherigem Kenntnisstand, im mittleren dreistelligen Bereich liegt. Genauere Angaben zum Ausmaß potenzieller Schäden sind aktuell noch nicht möglich.

In einer detaillierteren Sicherheitswarnung macht das BSI genauere Angaben. Darin teilt das Bundesamt für Sicherheit in der Informationstechnik mit, dass sich Cyberkriminellen eine bereits seit längerem bekannte Schwachstelle im OpenSLP Service der Anwendung zunutze gemacht haben. Dabei wird ein „Heap Overflow“ angestoßen, wodurch aus der Ferne Code ausgeführt werden kann. Weitere Informationen zur Sicherheitslücke sind unter der Bezeichnung CVE-2021-21974 zu finden. Die Schwachstelle wurde nach CVVS mit einem Schweregrad von 8,8 als „hoch“ eingestuft. Ein entsprechender Patch wurde vom Hersteller bereits im Februar des Jahres 2021 herausgegeben. In der Sicherheitswarnung weist das BSI unter anderem darauf hin, wie IT-Verantwortliche bei der Überprüfung von Systemen vorgehen sollen. Dazu stellt das Bundesamt einen Fragenkatalog bezüglich der betroffenen VMware-Versionen bereit. Der Katalog fragt beispielsweise ab, ob bereitgestellte Patches installiert wurden oder ob weitere Sicherheitsmaßnahmen umgesetzt wurden, um zu verhindern, dass Systeme aus dem Netz zu erreichen sind.

Reaktion auch seitens VMware

Der Hersteller der Software VMware, die Ziel der Cyberangriffe wurde, hat einen eigenen Blog bezüglich dem Sicherheitsvorfall veröffentlicht. Das Unternehmen listet die Cyberangriffe unter der Bezeichnung „ESXiArgs-Ransomware-Attacken“ auf. Der Softwarehersteller betont, dass es keine Anhaltspunkte gibt, dass es sich um eine bis dahin unbekannte Schwachstelle (Zero-Day) handelt, die zur Verbreitung der Ransomware ausgenutzt wurde. Veröffentlichte Meldungen berichten, dass EOGS-Produkte (End of General Support) oder deutlich veraltete Produkte mit bereits bekannten Sicherheitslücken attackiert werden, die im Vorfeld in VMware Security Advisories (VMSAs) benannt und offengelegt wurden.

Das Unternehmen empfiehlt, die aktuellen Versionen der vSphere-Komponenten zu installieren, um bisher bekannte Sicherheitslücken zu schließen. Des Weiteren solle der OpenSLP-Dienst in ESXi deaktiviert werden, da der Dienst seit 2021 in den neuen Versionen standardmäßig deaktiviert ist.