Ransomware-Kampagne kompromittiert VMware ESXi-Server

Autorin: Caitlin Condon

Am 3. Februar 2023 warnten der französische Webhosting-Anbieter OVH und das französische CERT vor einer Ransomware-Kampagne, die weltweit VMware ESXi-Server mit einem neuen Ransomware-Stamm namens „ESXiArgs“ angreift. Die Kampagne scheint sich CVE-2021-21974 zunutze zu machen, eine fast zwei Jahre alte Heap-Overflow-Schwachstelle im OpenSLP-Dienst von ESXi. Die Urheber der Ransomware verwenden eine opportunistische „Spray and Pray“-Taktik und haben in den letzten Tagen Hunderte von ESXi-Servern kompromittiert, einschließlich von Servern, die von Hosting-Unternehmen verwaltet werden. Besonders gefährdet sind ESXi-Server, die dem öffentlichen Internet ausgesetzt sind.

Angesichts des Alters der Sicherheitslücke ist es wahrscheinlich, dass viele Unternehmen ihre ESXi-Server bereits gepatcht haben. Da das Patchen von ESXi jedoch schwierig sein kann und in der Regel mit Ausfallzeiten verbunden ist, haben einige Unternehmen möglicherweise noch nicht auf eine korrigierte Version aktualisiert.  

Update: Am 7. Februar 2023 veröffentlichte die CISA ein Recovery-Skript für von ESXiArgs betroffene Unternehmen. „Damit lassen sich die Metadaten virtueller Maschinen von virtuellen Festplatten rekonstruieren, die nicht von der Malware verschlüsselt wurden.“

Betroffene Produkte

Die folgenden ESXi-Versionen sind laut dem ursprünglichen Gutachten von VMware anfällig für CVE-2021-21974:

• ESXi-Versionen 7.x vor ESXi70U1c-17325551
• ESXi-Versionen 6.7.x vor ESXi670-202102401-SG
• ESXi-Versionen 6.5.x vor ESXi650-202102101-SG

Sicherheitsmedien berichten, dass auch frühere Versionen von ESXi in einigen Fällen kompromittiert worden zu sein scheinen. Es ist möglich, dass die Angreifer weitere Schwachstellen oder Angriffsvektoren ausnutzen. Wir werden diesen Blogbeitrag mit neuen Informationen aktualisieren, sobald diese verfügbar sind.

Update vom 8. Februar 2023: Auf der Grundlage der Telemetrie von Project Sonar und der betroffenen Build-IDs geht Rapid7 mit hoher Wahrscheinlichkeit davon aus, dass es zum Zeitpunkt der Erstellung dieses Berichts mindestens 18.581 verwundbare ESXi-Server mit Internetanbindung gibt.

Angreiferverhalten

OVH hat mit Stand vom 3. Februar 2023 Folgendes festgestellt (im Rahmen der Übersetzung leicht bearbeitet):

• Es wurde bestätigt, dass der Kompromittierungsvektor eine OpenSLP-Schwachstelle nutzt, bei der es sich um CVE-2021-21974 handeln könnte (muss noch bestätigt werden [Stand: 3. Februar]). Die Protokolle zeigen, dass der Nutzer „dcui“ an der Kompromittierung beteiligt war.
• Die Verschlüsselung erfolgt mit einem öffentlichen Schlüssel, der von der Malware in /tmp/public.pem bereitgestellt wird.
• Der Verschlüsselungsprozess zielt speziell auf Dateien virtueller Maschinen („.vmdk“, „.vmx“, „.vmxf“, „.vmsd“, „.vmsn“, „.vswp“, „.vmss“, „.nvram“, „*.vmem“)
• Die Malware versucht, virtuelle Maschinen herunterzufahren, indem sie den VMX-Prozess zum Entsperren der Dateien abbricht. Diese Funktion funktioniert nicht systematisch wie erwartet, was dazu führt, dass bestimmte Dateien gesperrt bleiben.
• Die Malware erstellt die Datei „argsfile“, um Argumente zu speichern, die an die Verschlüsselungs-Binärdatei übergeben werden (Anzahl der zu überspringenden MB, Anzahl der MB im Verschlüsselungsblock, Dateigröße)
• Es wurden keine Daten exfiltriert.
• In einigen Fällen kann die Verschlüsselung von Dateien teilweise fehlschlagen, sodass die von der Attacke Betroffenen die Daten wiederherstellen können.

Update vom 8. Februar 2023: Nach Angaben von Rapid7 Threat Intelligence werden diese und andere ESXi-Schwachstellen aktiv auch von anderen Ransomware-Gruppen als ESXiArgs ausgenutzt.

Anleitung für Gegenmaßnahmen

ESXi-Kunden sollten sicherstellen, dass ihre Daten gesichert sind und ihre ESXi-Installationen kurzfristig auf eine korrigierte Version aktualisieren, ohne den regulären Patch-Zyklus abzuwarten. ESXi-Instanzen sollten nach Möglichkeit nicht mit dem Internet verbunden sein. Außerdem sollten Administratoren den OpenSLP-Dienst deaktivieren, sofern er nicht verwendet wird.

Rapid7-Kunden

InsightVM- und Nexpose-Kunden steht seit Februar 2021 eine Schwachstellen-Überprüfung für CVE-2021-21974 zur Verfügung.

Updates

8. Februar 2023, 15:35 UTC
– Informationen über das CISA-Wiederherstellungsskript hinzugefügt, das am 7. Februar 2023 veröffentlicht wurde

8. Februar 2023, 19:32 UTC
– Informationen zur Telemetrie von Project Sonar hinzugefügt
– Informationen zur Ausnutzung durch weitere Gruppen hinzugefügt