Der US-Auslandsgeheimdienst National Security Agency (NSA) warnt vor einer Zero-Day-Lücke in Virtualisierungsprodukten von VMware, die bereits aktiv für Hackerangriffe ausgenutzt wird. Die Hintermänner sollen mit Unterstützung des russischen Staats agieren.
Angreifbar sind der Sicherheitsmeldung zufolge VMware Workspace One Access 20.01 und 20.10 für Linux, VMware Workspace One Access Connector, VMware Identity Manager 3.3.1, 3.3.2 und 3.3.3 für Linux sowie VMware Identity Manager Connector 3.3.1, 3.3.2, 3.3.3 und 19.03. Außerdem steckt die Schwachstelle in VMware Cloud Foundation 4.x und vRealize Suite Lifecycle Manager 8.x
VMware selbst hatte schon Ende November auf die Schwachstelle hingewiesen, allerdings noch keinen Patch bereitgestellt. Stattdessen beschrieb das Unternehmen lediglich Behelfslösungen, um die Folgen einer Attacke zu minimieren. Eine offiziellen Patch veröffentlichte VMware erst am vergangenen Freitag. Entdeckt wurde die Sicherheitslücke dessen Versionshinweisen zufolge von einem Mitarbeiter der NSA.
Mit seiner Sicherheitswarnung fordert der Geheimdienst nun Unternehmen und Behörden auf, den verfügbaren Patch schnellstmöglich einzuspielen, um sich vor den immer noch aktiven Angriffen der mutmaßlich russischen Hacker zu schützen. “ Das Advisory unterstreicht, wie wichtig es für Systemadministratoren des Nationalen Sicherheitssystems (NSS), des Verteidigungsministeriums (DoD) und der Defense Industrial Base (DIB) ist, vom Hersteller bereitgestellte Patches auf betroffene VMware-Identitätsmanagementprodukte anzuwenden.“
Die zugrundeliegende Schwachstelle wird als Code-Injection-Lücke beschrieben. Ein Angreifer ist unter Umständen in der Lage, Befehle auf Ebene des Betriebssystems auszuführen. Voraussetzung für einen erfolgreichen Exploit ist jedoch, dass der Angreifer sich zuvor bei einem auf Workspace One basierende Webinterface anmeldet. Verfügt er jedoch über gültige Anmeldedaten, kann er die Kontrolle über jedes weitere ungepatchte Workspace-One-System übernehmen. An diese könnte er per Phishing oder Brute Force gelangen.
Laut NSA ist es Hackern gelungen, den Bug auszunutzen, um weitere Systeme in einem Netzwerk zu kontrollieren und vertrauliche Daten von einem Microsoft Active Directory Federation Services Server zu stehlen. Welches Unternehmen betroffen ist beziehungsweise welche russische Gruppe hinter der Attacke stecken soll, ließ die NSA offen. Trotzdem warnte sie Unternehmen und Behörden, das Problem nicht auf die leichte Schulter zu nehmen.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…