Zwar könnte für mehr Schutz die ESXi-Protokollierung alle Ereignisse an ein SIEM weiterleiten, was jedoch aufgrund der Kosten, Komplexität und des Fachkräftemangels für den Betrieb eines SIEM für kleinere und mittelständische Unternehmen keine praktikable Option darstellt. Diese Schutzlücke ist Angreifern nicht entgangen und führt zu vermehrter Ausnutzung dieser Sicherheitsschwachstelle.
Sophos X-Ops geben in ihrem neuen Bericht zehn ausführliche Tipps, wie Verteidiger das Risiko eines Angriffs auf ESXi reduzieren oder zumindest so verlangsamen können, dass die Verteidiger die Chance haben, die Gefahr zu erkennen und darauf zu reagieren:
- Sicherstellen, dass auf vCenter- und ESXi-Hosts unterstützte Versionen ausgeführt werden und alle Patches durchgeführt sind.
- vCenter- und ESXi-Hosts wenn möglich nicht der Domäne hinzufügen
- Aktivieren des normalen Sperrmodus
- Deaktivieren des SSH, sofern es nicht unbedingt benötigt wird
- Erzwingen einer hohen Kennwortkomplexität für vCenter- und ESXi-Hosts
- Kontosperrung nach fehlgeschlagenen Anmeldeversuchen
- Aktivieren des UEFI Secure Boot
- Konfiguration des Hosts, dass nur Binärdateien ausgeführt werden, die über signierte VIBs bereitgestellt wurden
- Deaktivieren des Managed Object Browser (MOB), CIM, SLP und der SNMP-Dienste, wenn sie nicht verwendet werden
- Einrichten einer dauerhaften Protokollierung
https://news.sophos.com/en-us/2024/08/07/best-security-practices-for-esxi-environments/