Trotz eines Aufschreis und vorliegender Updates sind viele VMware vCenter sowie Horizon Systeme immer noch in Gefahr. Ich war überrascht, als ich einen kompromittierten ESXi mit vCenter System heute gefunden habe.
Die Schwachstelle Log4Shell CVE-2021-44228 für VMware Systeme wie vCenter ist alt und wird jetzt in Deutschland stark ausgenutzt. VMware hat bereits in Dezember 2021 einen Patch veröffentlicht, jedoch sind nach wie vor Systeme in Deutschland verwundbar.
Die Sicherheitslücke wird nachweislich in Deutschland aktiv ausgenutzt. Sie ermöglicht dem Hacker eine C2 Kontrolle der Systeme und weitere Ausbreitung in dem jew. Netzwerk.
Ist mein VMware vCenter System auch in Gefahr?
Nur wen eure vCenter Version niedriger ist wie:
6.5U3s
6.7U3q
7.0U3c
Die Gefahr betraf nicht nur VMware Horizon und vCenter Systeme
Die Lücke selbst ist eine klassische Log4J Remote Code Execution auf einem anfälligen System. Diese vor allem von Apache Webservern bekannte Lücke ist in vielen VMware Systemen nach wie vor offen. Ich durfte mich heute selbst davon überzeugen. In vielen Unternehmen steht diese Lücke nach wie vor wie ein Scheunentor offen.
Betroffene VMware Systeme
- VMware Horizon
- VMware vCenter Server (Windows und Virtuell)
- VMware HCX
- VMware NSX-T Data Center
- VMware Unified Access Gateway
- VMware WorkspaceOne Access
- VMware Identity Manager
- VMware vRealize Operations
- VMware vRealize Operations Cloud (Cloud Proxy)
- VMware vRealize Automation
- VMware vRealize Lifecycle Manager
- VMware Site Recovery Manager, vSphere Replication
- VMware Carbon Black Cloud Workload Appliance
- VMware Carbon Black EDR Server
- VMware Tanzu GemFire
- VMware Tanzu GemFire for VMs
- VMware Tanzu Greenplum Platform Extension Framework
- VMware Greenplum Text
- VMware Tanzu Operations Manager
- VMware Tanzu Application Service for VMs
- VMware Tanzu Kubernetes Grid Integrated Edition
- VMware Tanzu Observability by Wavefront Nozzle
- Healthwatch for Tanzu Application Service
- Spring Cloud Services for VMware Tanzu
- Spring Cloud Gateway for VMware Tanzu
- Spring Cloud Gateway for Kubernetes
- API Portal for VMware Tanzu
- Single Sign-On for VMware Tanzu Application Service
- App Metrics
- VMware vCenter Cloud Gateway
- VMware vRealize Orchestrator
- VMware Cloud Foundation
- VMware Workspace ONE Access Connector
- VMware Horizon DaaS
- VMware Horizon Cloud Connector
- VMware NSX Data Center for vSphere
- VMware AppDefense Appliance
- VMware Cloud Director Object Storage Extension
- VMware Telco Cloud Operations
- VMware vRealize Log Insight
- VMware Tanzu Scheduler
- VMware Smart Assurance NCM
- VMware Smart Assurance SAM [Service Assurance Manager]
- VMware Integrated OpenStack
- VMware vRealize Business for Cloud
- VMware vRealize Network Insight
- VMware Cloud Provider Lifecycle Manager
- VMware SD-WAN VCO
- VMware NSX Intelligence
- VMware Horizon Agents Installer
- VMware Tanzu Observability Proxy
- VMware Smart Assurance M&R
- VMware Harbor Container Registry for TKGI
- VMware vRealize Operations Tenant App for VMware Cloud Director
- VMware vRealize True Visibility Suite
- VMware vRealize Operations Management Pack
Die Gefahr für vCenter Systeme
Im konkreten Fall wurde ein Windows Client mit einer falschen Microsoft „sysinternals“ Datei hmsvc.exe infiziert. Das Original ist ein legitimer Windows Service, das Fake ist nur ein Loader, der weitere Malware nachlädt. Die Fälschung enthält jede Menge Codes und wird als NT AUTHORITY\SYSTEM mit höchsten Zugriffsrechten ausgeführt.
Bei Ausführen werden verschlüsselte Pakete an eine IP Adresse in Amsterdam 104.223.34.198 verschickt. Als Nächstes erfolgt das Nachladen von einer Malware Datei 658_dump_64.exe. Diese scheint einen Remotezugang zum infizierten System zu ermöglichen. Zusätzlich führt hmsvc.exe eine Routine aus und aktiviert sich alle 60 Minuten als:
C:\Windows\System32\Tasks\Local Session Updater
Gleichzeitig werden .tmp Dateien erstellt unter:
C:\Users\<USER>\AppData\Local\Temp\
Der infizierte Rechner baut einen verschlüsselten Tunnel mit einem Server in Kanada 192.95.20.8 unter Verwendung des Ports 4443 auf.
Updaten, Härten und Absichern
- Seit Dezember 2021 gibt es die Sicherheitspatches bei VMware!
- In Firewalls in- und ausgehende Verbindungen für folgende IPs sperren: 192.95.20.8; 104.223.34.198; 109.248.150.13; 104.155.149.103; 134.119.177.107; 134.119.177.107; 162.245.190.203; 155.94.211.207; 185.136.163.104
- Das sind die bekannten Loader für diese Lücke: hmsvc.exe; winds.exe; fontdrvhosts.exe; praiser.exe; odbccads.exe; SvcEdge.exe
- Die bekannten nahgeladenen Malware: 658_dump_64.exe, f7_dump_64.exe
Quellen:
- ALARM-Meldung CISA.gov: https://www.cisa.gov/uscert/ncas/alerts/aa22-174a
- VMware Beschreibung und Liste mit Patches: https://www.vmware.com/security/advisories/VMSA-2021-0028.html
- Quelle CVE mitre.org: CVE-2021-44228
- Quelle CVE mitre.org: CVE-2021-45046