VMware

Schützen Sie Ihre VMware ESXi-Server vor ESXiarGS-Ransomware mit dem CVE-2021-21974 Patch

Chris Hartmann

February 7, 2023

Lesedauer: 2 Minuten

VMware ESXi-Server wurden von einer neuen Ransomware namens ESXiArgs angegriffen. Die Angreifer nutzen eine zwei Jahre alte Sicherheitslücke, CVE-2021-21974, im OpenSLP-Dienst aus. Die Sicherheitsanfälligkeit wird durch ein Heap-Overflow-Problem verursacht und kann von nicht authentifizierten Akteuren ausgenutzt werden. ESXi-Server in den Versionen 6.x und vor 6.7 sind das aktuelle Ziel. VMware bestätigte, dass dieser Angriff ältere ESXi-Lücken ausnutzt und keine Zero-Day-Sicherheitslücke darstellt.

Mondoo_graphics_Assess if your VMware ESXi server-01-1

Das französische Computer Emergency Response Team (CERT-FR) empfiehlt, den Patch zu installieren und den anfälligen Service Location Protocol (SLP) -Dienst auf ESXi-Hypervisoren zu deaktivieren, die nicht aktualisiert wurden.

CVE-2021-21974 betrifft die folgenden Systeme:

ESXi-Versionen 7.x vor ESXi70U1C-17325551
ESXi-Versionen 6.7.x vor ESXi670-202102401-SG
ESXi-Versionen 6.5.x vor ESXi650-202102101-SG

Es wird auch empfohlen, ungepatchte Systeme nach Anzeichen einer Gefährdung zu durchsuchen.

Laut einer Censys-Suche werden derzeit 2.400 VMware ESXi-Geräte weltweit als gefährdet erkannt. Die Ransomware verschlüsselt Dateien mit den Erweiterungen.vmxf, .vmx, .vmdk, .vmsd und.nvram und erstellt für jedes verschlüsselte Dokument .args-Dateien.

BleepingComputer hat das geteilt technische Details des Angriffs. Falls Sie angegriffen wurden, Sicherheitsforscher Enes Sonmez enes_dev hat eine geteilt Leitfaden zur Wiederherstellung von VMware ESXi, sodass viele Administratoren ihre virtuellen Maschinen neu erstellen und ihre Daten kostenlos wiederherstellen können.

Bestätigen Sie, ob Sie betroffen sind

Installieren Sie schnell unser Open-Source-Tool cnspec:

bash -c "$(curl -sSL https://install.mondoo.com/sh)"

‍

Find and fix the security risks that pose the biggest threat to your business.

Get started

Stellen Sie sicher, dass slpd nicht läuft

Wir stellen schnell über die vSphere-API eine Verbindung zur ESXi her und wählen den ESXi-Server aus:

cnspec shell vsphere user@domain.local@vsphere-ip --ask-pass

Zur Überprüfung geben wir einfach Folgendes ein MQL abfrage:

vsphere.host.services.none(key == "slpd" && running == true)

Stellen Sie sicher, dass alle Patches installiert wurden

Um Zugriff auf die Schwachstellendatenbank zu erhalten, melden Sie sich schnell bei der Mondoo-Plattform. Verwenden Sie dann cnspec, um schnell die fehlenden Patches für Ihren ESXi-Server zu ermitteln:

cnspec vuln vsphere user@domain.local@vsphere-ip --ask-pass

Kontinuierliche Bewertung von VMware vCenter Server

Die Mondoo-Plattform deckt vCenter Server vollständig ab, da sie innerhalb von Minuten mit unserer vCenter Appliance, vCenter und ESXi Vulnerability Management sowie CIS VMware ESXi 7.0 Benchmark bereitgestellt wird.

Lassen Sie nicht zu, dass ESXiarGS-Ransomware Ihre VMware ESXi-Server angreift! Ergreifen Sie proaktive Maßnahmen und sichern Sie Ihre Systeme mit der Leistungsfähigkeit von Mondoo. Eröffnen Sie ein kostenloses Konto heute, um Ihre Systeme einfach zu validieren und Sicherheitslücken kontinuierlich mit den neuesten Sicherheitsupdates zu bewerten. Oder buchen Sie eine Demo mit uns um zu erfahren, wie Mondoo Ihre Cybersicherheitsstrategie revolutionieren kann. Warten Sie nicht, bis es zu spät ist, schützen Sie Ihre Systeme jetzt mit Mondoo.

‍

Chris Hartmann

Christoph Hartmann, Mitbegründer und CTO von Mondoo, möchte die Welt sicherer machen. Er ist seit langem führend in den Bereichen Sicherheitstechnik und DevOps und entwickelt weit verbreitete Lösungen wie Dev-Sec.io und InSpec. Zum Spaß baut er alles, von benutzerdefinierten Betriebssystemen bis hin zu autonomen Lego Mindstorm-Robotern.

Vergleiche

Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen

Deborah Galea

August 4, 2025

Sanierung

Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben

Parag Baxi

July 24, 2025