NSA warnt vor Hackerangriffen auf Sicherheitslücke in VMware

Der US-Auslandsgeheimdienst National Security Agency (NSA) warnt vor einer Zero-Day-Lücke in Virtualisierungsprodukten von VMware, die bereits aktiv für Hackerangriffe ausgenutzt wird. Die Hintermänner sollen mit Unterstützung des russischen Staats agieren.

Die Anfälligkeit mit der Kennung CVE-2020-4006 betrifft die Endpoint- und Identity-Management-Produkte von VMware. Sie werden vor allem von Unternehmen und Behörden eingesetzt, um virtualisierte Workstations, die Authentifizierungsverfahren sowie die in jeder virtuellen Maschine installierten Apps zu verwalten.

Angreifbar sind der Sicherheitsmeldung zufolge VMware Workspace One Access 20.01 und 20.10 für Linux, VMware Workspace One Access Connector, VMware Identity Manager 3.3.1, 3.3.2 und 3.3.3 für Linux sowie VMware Identity Manager Connector 3.3.1, 3.3.2, 3.3.3 und 19.03. Außerdem steckt die Schwachstelle in VMware Cloud Foundation 4.x und vRealize Suite Lifecycle Manager 8.x

VMware selbst hatte schon Ende November auf die Schwachstelle hingewiesen, allerdings noch keinen Patch bereitgestellt. Stattdessen beschrieb das Unternehmen lediglich Behelfslösungen, um die Folgen einer Attacke zu minimieren. Eine offiziellen Patch veröffentlichte VMware erst am vergangenen Freitag. Entdeckt wurde die Sicherheitslücke dessen Versionshinweisen zufolge von einem Mitarbeiter der NSA.

Mit seiner Sicherheitswarnung fordert der Geheimdienst nun Unternehmen und Behörden auf, den verfügbaren Patch schnellstmöglich einzuspielen, um sich vor den immer noch aktiven Angriffen der mutmaßlich russischen Hacker zu schützen. “ Das Advisory unterstreicht, wie wichtig es für Systemadministratoren des Nationalen Sicherheitssystems (NSS), des Verteidigungsministeriums (DoD) und der Defense Industrial Base (DIB) ist, vom Hersteller bereitgestellte Patches auf betroffene VMware-Identitätsmanagementprodukte anzuwenden.“

Die zugrundeliegende Schwachstelle wird als Code-Injection-Lücke beschrieben. Ein Angreifer ist unter Umständen in der Lage, Befehle auf Ebene des Betriebssystems auszuführen. Voraussetzung für einen erfolgreichen Exploit ist jedoch, dass der Angreifer sich zuvor bei einem auf Workspace One basierende Webinterface anmeldet. Verfügt er jedoch über gültige Anmeldedaten, kann er die Kontrolle über jedes weitere ungepatchte Workspace-One-System übernehmen. An diese könnte er per Phishing oder Brute Force gelangen.

Laut NSA ist es Hackern gelungen, den Bug auszunutzen, um weitere Systeme in einem Netzwerk zu kontrollieren und vertrauliche Daten von einem Microsoft Active Directory Federation Services Server zu stehlen. Welches Unternehmen betroffen ist beziehungsweise welche russische Gruppe hinter der Attacke stecken soll, ließ die NSA offen. Trotzdem warnte sie Unternehmen und Behörden, das Problem nicht auf die leichte Schulter zu nehmen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago