Die jüngste Welle von Ransomware-Angriffen wird durch eine zwei Jahre alte VMWare-Schwachstelle ausgelöst. Die Angriffe betrafen Tausende von Unternehmen auf der ganzen Welt, insbesondere in Europa und Nordamerika.
Aus aller Welt erreichen uns Berichte über eine neue Ransomware namens EXSIArgs. Durch die Ausnutzung einer zwei Jahre alten Schwachstelle in der EXSI-Hypervisor-Software sind die Angreifer in der Lage, wichtige Dateien im System der infizierten Workstations zu löschen. Bis zum 6. Februar 2023 waren mehr als 3.200 VMWare-Server betroffen.
Die Behörden in den betroffenen Gebieten haben sofort auf den Vorfall reagiert. Ein Sprecher der amerikanischen Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) teilte mit, dass die Organisation über das Problem informiert ist. Die CISA arbeitet intensiv mit privaten und öffentlichen Partnern zusammen, um die Auswirkungen der Angriffe zu bewerten und bei Bedarf Unterstützung zu leisten. Die italienische Nationale Agentur für Cybersicherheit hat ebenfalls Warnungen an Organisationen herausgegeben und sie aufgefordert, sofortige Maßnahmen zu ergreifen.
Wie es dazu kam
Dieser Angriff begann mit einer zwei Jahre alten Sicherheitslücke in VMWare EXSI-Servern. EXSI ist eine Technologie, die das Unternehmen einsetzt, um mehrere Rechner auf einem einzigen Server zu hosten und zu koordinieren. Die fragliche Schwachstelle steht im Zusammenhang mit dem OpenSLP-Service, der auf älteren Versionen von EXSI verfügbar ist. Wenn böswillige Akteure diese Sicherheitslücke ausnutzen, können sie Code ausführen, der Dateien auf Ihrem System löscht.
Diese Sicherheitslücke ist jedoch nicht unbekannt. Sie wurde im Jahr 2021 offengelegt und als CVE-2021-21974 verfolgt. Das Unternehmen empfahl, dass Unternehmen mit der Aktualisierung ihrer vSphere-Komponenten auf die neuesten Versionen beginnen sollten, da diese den Patch für diese Sicherheitslücke enthalten.
Schwachstellen: Die versteckten Dolche
Böswillige Akteure nutzen Software-Schwachstellen schon seit langem, wobei einige besonders berüchtigte Fälle wie CVE-2018-8174, auch bekannt als Double Kill, und der ProxyLogon-Exploit zu nennen sind. Da Schwachstellen Einstiegspunkte für Malware sein können, empfehlen Experten, dass sie gepatcht werden sollten, sobald ein Update verfügbar ist.
Regierungen und andere Vorschriften in Bezug auf Schwachstellen werden immer häufiger und strenger. Im Oktober 2022 erließ beispielsweise die bereits erwähnte CISA eine verbindliche operative Richtlinie (BOD 23-01) zur Verbesserung der Transparenz von Anlagen und vulnerability detection in Bundesnetzwerken. Bis zum 3. April 2023 sind alle Bundesbehörden verpflichtet, alle sieben Tage eine automatische Bestandsermittlung durchzuführen und alle 14 Tage eine Aufzählung der Schwachstellen für alle entdeckten Bestände (einschließlich Endgeräte wie Laptops) zu veranlassen.
Dies ist zwar für alle Unternehmen unerlässlich und jetzt auch für Bundesbehörden vorgeschrieben, bedeutet aber nicht, dass dies eine einfache Aufgabe ist. Unternehmen können bis zu Tausende von Geräten haben, die gleichzeitig aktualisiert werden müssen, und es ist ein enormer Aufwand, sicherzustellen, dass jedes einzelne Gerät aktualisiert wird. Denken Sie daran, dass schon ein einziges infiziertes Gerät eine Infektionskette in Gang setzen kann, die zu einer massiven Datenpanne führt.
Wie SDP und Zero-Trust Ihr Netzwerk schützen können
OPSWATDie MetaDefender Access Zero-Trust Access Platform ist eine umfassende Lösung, die Sicherheitskonformität, Transparenz und Kontrolle für jedes Gerät und jeden Benutzer bietet, der auf Unternehmensressourcen zugreift.
Einhaltung der Vorschriften
MetaDefender Access führt die branchenweit umfassendste Prüfung der Geräteposition durch (15 Prüfkategorien), einschließlich der Durchführung einer Risiko- und Schwachstellenbewertung. Es erkennt über 35.000 CVEs und kann mehr als 150 Anwendungen von Drittanbietern automatisch patchen.
Zugangskontrolle
Nachdem MetaDefender Access sichergestellt hat, dass das Endgerät sowohl konform als auch sicher ist, werden die Benutzer über eine integrierte IAM-Lösung (Identity Authorization Management) für den Zugriff auf das Netzwerk autorisiert. Sie erhalten dann über einen Software Defined PerimeterSDP) Zugriff auf Unternehmensressourcen, basierend auf einer Least-Privilege-Richtlinie.
Sichtbarkeit
Der Schutz geht sogar noch weiter. Mit MetaDefender Access wäre es Hackern im Falle der EXSI-Software gar nicht erst möglich, eine Verbindung herzustellen, da die Ressourcen und Anwendungen hinter SDP für alle Geräte unsichtbar sind, so dass Hacker nicht wissen, dass sie vorhanden sind. Außerdem können nur vertrauenswürdige Geräte, die wie oben beschrieben strenge Konformitäts- und Sicherheitsprüfungen durchlaufen haben, über SDP auf Ressourcen zugreifen.
Unternehmen müssen nicht schutzlos sein, wenn böswillige Akteure eine Sicherheitslücke ausnutzen. Durch regelmäßiges Patchen ihrer Anwendungen und Endpunkte können Unternehmen das Risiko von Angriffen minimieren und kostspielige Ransomware-Vorfälle verhindern. Mit Lösungen wie OPSWAT MetaDefender Access Zero-Trust Access Platform können Unternehmen diesen Prozess auf konforme, sichere und kostengünstige Weise beschleunigen.
Lesen Sie mehr über unsere MetaDefender Access Zero-Trust Access Plattform.
