Anzeige

Crowdstrike löst Diskussion um Sicherheit bei Vmware ESXi aus

Seit 2020 war sich Vmware sicher, dass Kunden seines ESXi-Hypervisor keine zusätzliche Sicherheits-Software benötigen. Nach erfolgreichen Angriffen und Kritik von Security-Anbietern denkt es nun zumindest darüber nach – appelliert, aber gleichzeitig an das Verantwortungsbewusstsein der Nutzer.

VMware hat kürzlich einen Knowledgebase-Artikel aktualisiert. Die Änderung lautet: »Die in diesem Artikel enthaltenen Informationen sind überholt und sollten als veraltet betrachtet werden. Es wird erwartet, dass dieser Artikel in Zukunft mit aktuellen Informationen aktualisiert wird.« Keine große Sache, sollte man meinen. So etwas passiert schließlich täglich hundertfach.

Anzeige

Bemerkenswert ist es aber, weil Vmware in dem betreffenden Beitrag bisher zusätzliche Sicherheits-Software beim Einsatz seines Hypervisors ESXi abgelehnt und ausdrücklich erklärt hatte, dass sie nicht unterstützt wird. Begründet wurde das damit, dass ESXi eben keine Umgebung wie jede andere sei. »Nur Binärdateien von Vmware und Drittanbietern, die in signed packaging (VIB) geliefert und durch strenge Kontrollen validiert werden, sind ausführbar. Es gibt keine Möglichkeit, Code zur Laufzeit zu interpretieren, und die kompilierten Module unterliegen sowohl den Ausführungskontrollen als auch einer im Kernel integrierten Standardverweigerungsrichtlinie (für nicht signierten Code).«

Was Vmware bisher für die Security tut

Security-Firmen waren sich da nicht so sicher. Am lautesten hat zuletzt CrowdStrike diese Einstellung kritisiert. Auslöser war die als »ESXiArgs« bekannt gewordene und vom französischen CERT im Frühjahr 2023 identifizierte Ransomware-Kampagne. Die Warnung hat auch das BSI aufgegriffen (PDF). Die Angreifer nutzen damals die Sicherheitslücken CVE-2020-3992 und CVE-2021-21974 aus.

Für die Lücke CVE-2021-21974, das Einfallstor der Angreifer, hatte Vmware bereits im Februar 2021 einen Patch bereitgestellt. Die Betroffenen hatten den aber nicht eingespielt. Vmware wiederholte damals seine dringende Empfehlung, seine Software immer aktuell zu halten, noch einmal. Außerdem empfahl es, ein Identitätszugriffsmanagement einzurichten, eine moderne Sicherheitsarchitektur zu betreiben und die Maßnahmen anzuwenden, die es in seinem Ransomware Resource Center beschreibt und anbietet. Damit sah es sich weitgehend aus dem Schneider.

Crowdstrike verliert die Geduld

Crowdstrike sieht das anders. Im dritten einer dreiteiligen Reihe mit Blog-Posts wurde es Anfang der Woche recht deutlich. Seit 2020 sehe man immer häufiger gezielte Attacken auf Unternehmen, bei denen Angreifer es gezielt darauf anlegen, Vmwares Hypervisor ESXi Vsphere anzugreifen. Darüber hat Crowdstrike etwa im Februar 2021 und im August 2021 bereits berichtet. Jetzt wurde der Security-Anbieter in seinem aktuellen Blog-Post zu dem von ihm als »Hypervisor Jackpotting« bezeichneten Angriffsverfahren ungewöhnlich deutlich.

Darin heißt es unter anderem: »Bedrohungsakteure - von skrupellosen E-Crime-Gruppen bis hin zu hochentwickelten Nationalstaaten wie dem Iran und Nordkorea - haben alle erkannt, wie anfällig ESXi ist, und versuchen weiterhin, diese Umgebung zu infiltrieren.« Die hohe Verbreitung und die Weigerung von Vmware, zusätzliche Sicherheits-Software zu unterstützen, machen laut Crowdstrike den Hypervisor zu einem »sehr attraktiven Ziel für moderne Angreifer«.

»Immer mehr Bedrohungsakteure merken, dass der Mangel an Security-Tools, an adäquater Netzwerksegmentierung für ESXi-Schnittstellen und bekannte Sicherheitslücken für ESXi eine an Angriffszielen reiche Umgebung schaffen«, fasst Crowdstrike seine Erkenntnisse zusammen. Das von ihm im April identifizierte Ransomware-as-a-Service-Programm »MichaelKors« (ohne Bezug zum gleichnamigen US-Mode-Designer) sowie die »Nevada-Ransomware« seien vermutlich nur der Anfang.

Was andere Security-Anbieter sagen

Michael Schröder, ESET
Michael Schröder, ESET

Nicht alle Anbieter wollen sich der Kritik anschließen. Einige große, die sonst selten um Mitteilungen verlegen sind, wenn es darum geht, die Gefahren der Cyberwelt zu beschwören, halten sich ganz raus. Andere stimmen Crowdstrike im Prinzip zu, sind aber in der Auslegung zurückhaltender.

Michael Schröder, Manager of Security Business Strategy DACH bei ESET in Deutschland etwa erklärt: »Die Möglichkeiten, Remote-Code auf den Systemen auszuführen oder die Privilegien zu erweitern, schaffen durchaus eine fruchtbare Grundlage für Cyberkriminelle.« Aber auch aus seiner Sicht ist es »vor dem Hintergrund der vorhandenen und immer wieder auftretenden Schwachstellen im Vmware-Umfeld nicht empfehlenswert, eine virtuelle Umgebung ohne Drittanbieterschutz zu betreiben.«

Richard Werner, Trend Micro
Richard Werner, Trend Micro

Richard Werner, Business Consultant bei Trend Micro, schaltet die Diskussion zunächst einmal einen Gang runter: »Dass man auf einem ESXi-Server keinen Endpoint-Schutz installieren kann, ist keine Neuigkeit.« Es sei bislang in der IT-Security-Gemeinschaft jedoch auch nicht groß thematisiert worden, weil es keine bekannten Angriffe auf das System gab. »Das hat sich nun geändert und damit ist die Frage nach einem Schutz relevant geworden«, sagt Werner.

Er empfiehlt – nicht nur deshalb – dass man bei IT-Security nicht nur eindimensional denken, sondern unterschiedliche Ansatzpunkte betrachten sollte. »Selbstverständlich würden wir es begrüßen, wenn Vmware die Installation von Agenten unterstützt – wir können unseren Kunden aber auch jetzt schon Alternativen anbieten.« Mit der Tatsache, dass manche Endpoints nicht durch Agenten geschützt werden können, gehöre leider zum Alltag in Unternehmen. Mit ihr müsse man leben lernen.

Die Kritik wirkt – Vmware bewegt sich

Dass ein Hersteller wie Vmware alleine auf einen Blog-Post hin seine Security-Strategie ändert, wäre, zumindest ungewöhnlich. Den Security-Anbietern ist ja zumindest ein gewisses Eigeninteresse nicht abzusprechen. Sie verdienen nichts, wenn es für Firmen ausreicht, ihre Software aktuell zu halten und sich nach den Empfehlungen des Herstellers zu richten.

Die von Crowdstrike und anderen dokumentierten Angriffe auf Unternehmen über Vmware-Software zeigen aber auch, dass an den Warnungen durchaus etwas dran ist. Ob auch Eigenverschulden der Unternehmen eine Rolle spielt? Möglicherweise. Aber auch durch unzulängliche Maßnahmen entstehende Risiken zu reduzieren, ist ja eine Aufgabe von IT-Sicherheits-Software. Sie ganz abzulehnen ist deshalb etwas kühn.

Offenbar sieht man das auch bei Vmware allmählich so. Zwar betont das Unternehmen weiterhin, dass Kunden die Anleitungen zur Absicherung von Vsphere-Umgebungen und zum Schutz vor Ransomware beachten und ihre Software aktuell halten sollten. Auch dass Ransomware-Angreifer das Ende des allgemeinen Supports und/oder veraltete Produkte mit Schwachstellen ins Visier nehmen, sei nicht die Schuld von Vmware. Allerdings lässt der um den Satz »Dieser Artikel wird voraussichtlich in Zukunft mit aktuellen Informationen aktualisiert« ergänzte Knowledgebase-Artikel vermuten, dass die Kritik nun zumindest gehört wurde. Jetzt darf man gespannt ein, wie das Ergebnis ausfällt.

Weiterführende Links:

Anzeige