ESXi-Umgebungen
Sophos X-Ops empfiehlt die Absicherung der Sicherheitslücke in ESXi-Umgebungen
Der Bericht von Sophos X-Ops beleuchtet die besonderen Cyberrisiken, denen VMware ESXi-Umgebungen ausgesetzt sind, und bietet zehn praktische Tipps, um diese Bedrohungen zu minimieren. Da ESXi-Hypervisoren direkt auf der Hardware implementiert sind und keine native Unterstützung für Endpoint Detection and Response (EDR) oder Managed Detection and Response (MDR) bieten, sind sie besonders anfällig für Angriffe. Angreifer können erheblichen Schaden verursachen, indem sie ESXi-Hosts und die darauf gehosteten virtuellen Maschinen (VMs) verschlüsseln.
ESXi unterstützt nativ keine Endpoint Detection and Response (EDR). Sophos X-Ops erklärt die daraus resultierenden Gefahren und gibt detaillierte Anleitungen, diese Schutzlücke bestmöglich zu schließen
Eine Möglichkeit, die Sicherheitslücke zu verringern, wäre die Weiterleitung aller Ereignisse an ein Security Information and Event Management (SIEM)-System. Allerdings stellt dies aufgrund von Kosten, Komplexität und dem Mangel an Fachkräften für viele kleinere Unternehmen keine praktikable Lösung dar. Angreifer sind sich dieser Schwachstelle bewusst und nutzen sie zunehmend aus.
Um dieses Risiko zu minimieren, empfiehlt Sophos X-Ops folgende Maßnahmen:
- Sicherstellen, dass vCenter- und ESXi-Hosts auf unterstützten Versionen laufen und aktuell gepatcht sind.
- vCenter- und ESXi-Hosts nach Möglichkeit nicht in eine Domäne integrieren.
- Den normalen Sperrmodus aktivieren.
- SSH deaktivieren, wenn es nicht unbedingt benötigt wird.
- Eine hohe Kennwortkomplexität für vCenter- und ESXi-Hosts erzwingen.
- Kontosperrungen nach fehlgeschlagenen Anmeldeversuchen einrichten.
- UEFI Secure Boot aktivieren.
- Hosts so konfigurieren, dass nur signierte Binärdateien ausgeführt werden.
- Nicht benötigte Dienste wie den Managed Object Browser (MOB), CIM, SLP und SNMP deaktivieren.
- Eine dauerhafte Protokollierung einrichten.
Diese Maßnahmen sollen das Risiko von Angriffen auf ESXi-Umgebungen reduzieren oder zumindest die Reaktionszeit der Verteidiger verlängern. Der vollständige Bericht von Sophos bietet detaillierte Anleitungen zu diesen Tipps und ist auf der Sophos-Website verfügbar.