In VMWare ESXi sind zwei Schwachstellen bekannt geworden, die aktuell dazu missbraucht werden, um virtuelle Maschinen zu übernehmen und deren virtuelle Festplatten zu verschlüsseln.
Die Ausnutzung dieser beiden Schwachstellen ermöglicht es einem Angreifer im selben Netzwerk, über böswillige SLP-Anfragen die Kontrolle über ESXi-Hosts zu übernehmen. Da diese Schwachstellen auf den Virtualisierungshost selbst abzielen, ist es nicht nötig den VMWare vCenter-Server zu kompromittieren, der für das Management der ESXi-Hosts zuständig ist. Kriminelle Gruppen könnten die Schwachstellen als Einstiegspunkt für Ransomware-Angriffe nutzen, daher sind diese beiden Schwachstellen aktuell wieder in den Fokus gerückt.
Wir empfehlen, die erforderlichen ESXi-Patches anzuwenden oder die SLP-Unterstützung zu deaktivieren. So können Angriffe ebenfalls verhindert werden, wenn das Protokoll aktuell nicht benötigt wird.
Weitere Informationen dazu finden Sie auf den Support-Seiten CVE-2020-3992 und CVE-2019-5544 von VMWare zu den jeweiligen Schwachstellen.