Trotz Patch: Weiterhin Tausende VMware vCenter-Server angreifbar

Forscher von Trustwave Spider Labs haben mithilfe der Gerätesuchmaschine Shodan 5271 Instanzen von VMware vCenter-Servern aufgespürt, die mit dem Internet verbunden sind. Auf mindestens 4181 dieser Server läuft eine ungepatchte Version der Management-Software. Sie ist anfällig für das Einschleusen und Ausführen von Schadcode aus der Ferne.

Die fraglichen Sicherheitslücken betreffen die Versionen vCenter Server 6.5.0 Build 17994927 und früher, vCenter Server 6.7.0 Build 18010531 und früher sowie vCenter Server 7.0.2 Build 17958471 und früher. Angreifer mit einem Zugang zum Netzwerk können über eine Schwachstelle im vSphere Client Befehle mit uneingeschränkten Privilegien ausführen und auf das Host-Betriebssystem für vCenter Server zuzugreifen. Die zweite Anfälligkeit wieder erlaubt es, über den Port 443 und ohne Authentifizierung die Kontrolle über Plug-ins zu übernehmen.

Allerdings waren die Forscher nur in der Lage, Daten von 4969 Servern abzurufen. Dabei fanden sie schließlich 4019 ungepatchte Instanzen, was einem Anteil von 80,88 Prozent entspricht. Die restlichen 19,12 Prozent seien wahrscheinlich ebenfalls als unsicher einzustufen, da auf ihnen veraltete und nicht mehr unterstützte Versionen liefen.

Die benötigten Sicherheitsupdates sind seit 25. Mai erhältlich. VMware rät seitdem zu einer “sofortigen” Installation der Patches. Allerdings warnt das Unternehmen auch, dass die Updates möglicherweise die Funktion von einigen Plug-ins von Drittanbietern einschränken. Sollte es nicht möglich sein, die Patches einzuspielen, sollten betroffene Nutzer zumindest die Plug-in-Funktion abschalten, um das Risiko eines erfolgreichen Angriffs zu minimieren.

Für die schwerwiegendere der beiden Anfälligkeiten liegt zudem inzwischen Beispielcode für einen Exploit vor. Die US-Cybersicherheitsbehörde CISA sah sich zudem genötigt, mit einer eigenen Sicherheitswarnung auf das Problem aufmerksam zu machen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago