Sophos rät zur Absicherung von ESXi-Hosts
VM Ware ESXi-Umgebungen unterstützen nativ keine Endpoint Detection and Response (EDR). Der Sicherheitsanbieter Sophos X-Ops warnt vor möglichen Gefahren und gibt detaillierte Anleitungen, diese Schutzlücke zu schließen.
Sophos X-Ops hat einen ausführlichen Bericht über Cybergefahren für ESXi-Umgebungen veröffentlicht. Der Anbieter gibt außerdem Tipps, wie dieses Risiko verringert werden kann. Das Problem: VMware ESXi-Hypervisoren sind einem besonders hohen Cyberrisiko ausgesetzt, da die Technologie direkt auf der Hardware implementiert ist, anstatt innerhalb eines Betriebssystems wie Windows.
Verschlüsselungs-Risiko
Das verbessert zwar die Geschwindigkeit und die Effizienz dieser Hostkonfiguration, wird bei der Verteidigung zum Problem, weil die ESXi-Hosts keine native Ausführung von EDR (Endpoint Detection and Response) oder MDR (Managed Detection and Response) unterstützen. Damit können Angreifer mit einer großen Auswahl an Exploits arbeiten, die normalerweise von EDR oder MDR erkannt würden. Angreifer, die ESXi-Hosts ins Visier nehmen, können einem Unternehmen schnell unverhältnismäßig großen Schaden zufügen, indem sie mit nur wenigen Klicks einen kompletten ESXi-Host samt den darauf gehosteten VMs verschlüsseln.
Angreifer in Lauerstellung
Zwar könnte für mehr Schutz die ESXi-Protokollierung alle Ereignisse an ein SIEM weiterleiten, was jedoch aufgrund der Kosten, Komplexität und des Fachkräftemangels für den Betrieb eines SIEM für kleinere und mittelständische Unternehmen keine praktikable Option darstellt. Diese Schutzlücke ist Angreifern nicht entgangen und führt nach Einschätzung von Sophos bereits zu vermehrter Ausnutzung dieser Sicherheitsschwachstelle.
Sophos X-Ops geben in ihrem neuen Bericht zehn Tipps, wie Security-Verantwortliche das Risiko eines Angriffs auf ESXi reduzieren oder zumindest so verlangsamen können, dass sie die Chance haben, die Gefahr zu erkennen und darauf zu reagieren:
- Sicherstellen, dass auf vCenter- und ESXi-Hosts unterstützte Versionen ausgeführt werden und alle Patches durchgeführt sind.
- vCenter- und ESXi-Hosts wenn möglich nicht der Domäne hinzufügen
- Aktivieren des normalen Sperrmodus
- Deaktivieren des SSH, sofern es nicht unbedingt benötigt wird
- Erzwingen einer hohen Kennwortkomplexität für vCenter- und ESXi-Hosts
- Kontosperrung nach fehlgeschlagenen Anmeldeversuchen
- Aktivieren des UEFI Secure Boot
- Host so konfigurieren, dass nur Binärdateien ausgeführt werden, die über signierte VIBs bereitgestellt wurden
- Deaktivieren des Managed Object Browser (MOB), CIM, SLP und der SNMP-Dienste, wenn sie nicht verwendet werden
- Einrichten einer dauerhaften Protokollierung
Der komplette Bericht mit detaillierten Anleitungen zu den zehn Tipps (in englischer Sprache) steht bei Sophos zur Verfügung.