Wichtiger Sicherheitshinweis zu kritischer Lücke von VMware ESXi-Server

ESXiArgs ist eine neuartige Ransomware-Variante, die sich auf VMware ESXi-Systeme spezialisiert hat. Diese Ransomware nutzt eine „remote code execution“-Schwachstelle (CVE-2021-21974) im Virtualisierungssystem, um die Authentifizierung zu umgehen und die virtuellen Maschinen zu verschlüsseln. Nach aktuellem Stand sind bisher etwa 2400 Server kompromittiert.

Ein Angreifer oder eine Angreiferin, die sich im selben Netzwerksegment wie der ESXi befinden und Zugriff auf Port 427 haben, können einen Heap-Overflow im OpenSLP-Dienst verursachen, welcher bis 2021 in jeder Installation standardmäßig aktiviert war. Für die Sicherheitslücke gibt es schon seit rund 2 Jahren (Februar 2021) einen entsprechenden Patch.

Folgende Versionen sind betroffen:

• ESXi-Versionen 7.x vor ESXi70U1c-17325551
• ESXi-Versionen 6.7.x vor ESXi670-202102401-SG
• ESXi-Versionen 6.5.x vor ESXi650-202102101-SG

Wenn man seinen ESXi nicht so schnell updaten kann, wie kann man sich schützen?

Abhilfe schafft das Deaktivieren des OpenSLP-Dienstes. Mit den folgenden Befehlen wird dies durchgeführt:

/etc/init.d/slpd stop
esxcli network firewall ruleset set -r CIMSLP -e 0
chkconfig slpd off

Was tun, wenn der eigene ESXi-Server bereits kompromittiert ist?

Enes Sonmez hat bereits einen Recovery-Leitfaden veröffentlicht, mit dem sich die Daten der virtuellen Maschinen kostenlos wiederherstellen lassen. Dieser ist unter www.enes.dev erreichbar.