NSA warnt vor Hackerangriffen auf Sicherheitslücke in VMware

Der US-Auslandsgeheimdienst National Security Agency (NSA) warnt vor einer Zero-Day-Lücke in Virtualisierungsprodukten von VMware, die bereits aktiv für Hackerangriffe ausgenutzt wird. Die Hintermänner sollen mit Unterstützung des russischen Staats agieren.

Die Anfälligkeit mit der Kennung CVE-2020-4006 betrifft die Endpoint- und Identity-Management-Produkte von VMware. Sie werden vor allem von Unternehmen und Behörden eingesetzt, um virtualisierte Workstations, die Authentifizierungsverfahren sowie die in jeder virtuellen Maschine installierten Apps zu verwalten.

Angreifbar sind der Sicherheitsmeldung zufolge VMware Workspace One Access 20.01 und 20.10 für Linux, VMware Workspace One Access Connector, VMware Identity Manager 3.3.1, 3.3.2 und 3.3.3 für Linux sowie VMware Identity Manager Connector 3.3.1, 3.3.2, 3.3.3 und 19.03. Außerdem steckt die Schwachstelle in VMware Cloud Foundation 4.x und vRealize Suite Lifecycle Manager 8.x

VMware selbst hatte schon Ende November auf die Schwachstelle hingewiesen, allerdings noch keinen Patch bereitgestellt. Stattdessen beschrieb das Unternehmen lediglich Behelfslösungen, um die Folgen einer Attacke zu minimieren. Eine offiziellen Patch veröffentlichte VMware erst am vergangenen Freitag. Entdeckt wurde die Sicherheitslücke dessen Versionshinweisen zufolge von einem Mitarbeiter der NSA.

Mit seiner Sicherheitswarnung fordert der Geheimdienst nun Unternehmen und Behörden auf, den verfügbaren Patch schnellstmöglich einzuspielen, um sich vor den immer noch aktiven Angriffen der mutmaßlich russischen Hacker zu schützen. “ Das Advisory unterstreicht, wie wichtig es für Systemadministratoren des Nationalen Sicherheitssystems (NSS), des Verteidigungsministeriums (DoD) und der Defense Industrial Base (DIB) ist, vom Hersteller bereitgestellte Patches auf betroffene VMware-Identitätsmanagementprodukte anzuwenden.“

Die zugrundeliegende Schwachstelle wird als Code-Injection-Lücke beschrieben. Ein Angreifer ist unter Umständen in der Lage, Befehle auf Ebene des Betriebssystems auszuführen. Voraussetzung für einen erfolgreichen Exploit ist jedoch, dass der Angreifer sich zuvor bei einem auf Workspace One basierende Webinterface anmeldet. Verfügt er jedoch über gültige Anmeldedaten, kann er die Kontrolle über jedes weitere ungepatchte Workspace-One-System übernehmen. An diese könnte er per Phishing oder Brute Force gelangen.

Laut NSA ist es Hackern gelungen, den Bug auszunutzen, um weitere Systeme in einem Netzwerk zu kontrollieren und vertrauliche Daten von einem Microsoft Active Directory Federation Services Server zu stehlen. Welches Unternehmen betroffen ist beziehungsweise welche russische Gruppe hinter der Attacke stecken soll, ließ die NSA offen. Trotzdem warnte sie Unternehmen und Behörden, das Problem nicht auf die leichte Schulter zu nehmen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

2 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago