Thought Leadership
Der CERT-Bund des BSI teilte mit, dass Tausende virtualisierte Server-Infrastrukturen über das Internet angreifbar sind. Die meisten Systeme sind veraltet oder unzureichend gepatcht.
Das Computer Emergency Response Team des Bundes (CERT-Bund) hat rund 2.500 VMware ESXi-Server identifiziert, deren Management-Schnittstellen direkt aus dem Internet erreichbar sind. Das teilte man nun auf der Plattform Mastodon mit. Diese exponierte Konfiguration stelle ein erhebliches Sicherheitsrisiko dar, da Angreifer potentiell direkten Zugriff auf zentrale Virtualisierungsinfrastrukturen erlangen könnten.
Nach Angaben des CERT-Bund laufen etwa 60 Prozent der betroffenen Server mit Versionen, die vom Hersteller VMware nicht mehr unterstützt werden und somit keine Sicherheitsupdates mehr erhalten. Weitere 31 Prozent der Systeme nutzen zwar aktuelle Versionen, sind jedoch nicht auf dem neuesten Patch-Stand und damit ebenfalls angreifbar.
Management-Schnittstellen gehören nicht ins Internet
ESXi-Management-Schnittstellen ermöglichen die zentrale Verwaltung virtualisierter Umgebungen und sollten nach gängigen Sicherheitsstandards niemals direkt aus dem Internet zugänglich sein.
Das CERT-Bund weist darauf hin, dass es bereits seit zwei Jahren deutsche Netzbetreiber über betroffene Systeme in deren Netzen informiert. Trotz dieser fortlaufenden Benachrichtigungen bleibt die Anzahl exponierter Server auf einem kritischen Niveau.
Administratoren werden dringend aufgefordert, ihre ESXi-Infrastrukturen zu überprüfen, Management-Schnittstellen aus dem Internet zu entfernen und umgehend verfügbare Sicherheitsupdates einzuspielen.
Was sind VMware ESXi-Server?
VMware ESXi ist eine Software zur Virtualisierung. Vereinfacht gesagt: Auf einem einzigen physischen Server können damit viele virtuelle Computer gleichzeitig laufen. Unternehmen nutzen diese Technologie, um ihre IT-Infrastruktur effizient zu betreiben. Auf einem ESXi-Server können beispielsweise die E-Mail-Systeme, Datenbanken und Webanwendungen eines Unternehmens laufen.
