Kleiner Nachtrag in Sachen Sicherheit. CERT-Bund hat bereits Ende Januar 2026 eine Warnung herausgegeben. Bei einem Internetscan wurden 2.500 VMware ESXi-Server gefunden, die aus Sicherheitsgründen nicht per Internet erreichbar sein sollten. Zudem gibt es aktuell Meldungen, dass VMware ESXi-Server-Instanzen über die alte Schwachstelle CVE-2025-22225 von Ransomware -Gruppen angegriffen werden.
Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)
VMware ESXi-Servern im Internet erreichbar
Die Information, die von CERT-Bund auf Mastodon gepostet wurde, lautet, dass CERT-Bund aktuell rund 2.500 offen aus dem Internet erreichbare Management-Schnittstellen von VMware ESXi-Servern in Deutschland bekannt seien.
Das Problem: 60% der Server laufen mit veralteten Versionen, die nicht mehr vom Hersteller unterstützt werden. Weitere 31% laufen mit einer aktuellen Version, aber einem veralteten Patch-Stand. VMware ESXi-Server sollten mit ihrer Management-Schnittstelle grundsätzlich nicht im Internet exponiert werden. Denn diese Instanzen sind angreifbar.
CERT-Bund benachrichtigt deutsche Netzbetreiber seit zwei Jahren zu betroffenen Systemen in ihren Netzen. Aber offenbar kommen diese Benachrichtigungen nicht an, werden nicht gelesen oder nicht verstanden. Golem hatte zeitnah hier zudem eine CISA-Warnung vor der vCenter Server-Schwachstelle CVE-2024-37079 aus 2024 aufgegriffen, die wohl verstärkt angegriffen wird.
Ransomware-Angriffe auf VMware ESXi-Server
Zudem habe ich aktuell bei den Kollegen von Bleeping Computer die Meldung gesehen, dass Ransomware-Angriffe über alte Schwachstellen auf VMware ESXi-Server erfolgen.
Die Kollegen haben eine Warnung der US-Cybersicherheitsbehörde CISA aufgegriffen. Laut CISA haben Ransomware-Gruppen begonnen, die hochgradig kritische Schwachstelle CVE-2025-22225 in VMware ESXi auszunutzen. Diese Schwachstelle, die einen Ausbruch aus der Sandbox ermöglicht, war zuvor in Zero-Day-Angriffen verwendet worden, ist aber seit März 2025 bekannt.
Broadcom hatte zeitnah im März 2025 diesen Sicherheitshinweis veröffentlicht und gleichzeitig die Schwachstellen CVE-2025-22224, CVE-2025-22225 und CVE-2025-22226 in VMware ESXi, Workstation und Fusion durch Updates schlossen. Laut der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) wird CVE-2025-22225 nun in Ransomware-Kampagnen für Angriffe verwendet.
Dieser Beitrag wurde unter Sicherheit, Software, Virtualisierung abgelegt und mit Sicherheit, VMware ESXi Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.
