أصدرت VMware إجراءات تخفيف جديدة عاجلة وإرشادات في 29 سبتمبر لعملاء تقنية المحاكاة الافتراضية vSphere الخاصة بها بعد أن أبلغت Mandiant عن اكتشاف ممثل تهديد في الصين باستخدام تقنية جديدة مثيرة للقلق لتثبيت العديد من الأبواب الخلفية المستمرة على ESXi Hypervisors.
تتضمن التقنية التي لاحظها Mandiant الجهات الفاعلة المهددة - التي تم تتبعها باسم UNC3886 - باستخدام حزم تثبيت vSphere (VIBs) الخبيثة لتسلل برامجها الضارة إلى الأنظمة المستهدفة. للقيام بذلك ، طلب المهاجمون امتيازات على مستوى المسؤول لبرنامج ESXi hypervisor. لكن مانديانت قال إنه لم يكن هناك دليل على أنهم بحاجة لاستغلال أي ثغرة أمنية في منتجات VMware لنشر البرامج الضارة.
مجموعة واسعة من القدرات الخبيثة
الابواب التي أطلق Mandiant على VIRTUALPITA و VIRTUALPIE، تمكن المهاجمين من تنفيذ مجموعة من الأنشطة الضارة. وهذا يشمل الحفاظ على وصول المشرف المستمر إلى برنامج مراقبة ESXi ؛ إرسال أوامر ضارة إلى VM الضيف عبر برنامج Hypervisor ؛ نقل الملفات بين ESXi hypervisor وأجهزة الضيف ؛ العبث بخدمات قطع الأشجار ؛ وتنفيذ أوامر عشوائية بين ضيوف VM على نفس برنامج Hypervisor.
يقول Alex Marvi ، مستشار الأمان في Mandiant: "باستخدام النظام البيئي للبرامج الضارة ، يمكن للمهاجم الوصول عن بُعد إلى برنامج Hypervisor وإرسال أوامر عشوائية يتم تنفيذها على جهاز افتراضي للضيف". "الأبواب الخلفية التي لاحظها مانديانت ، VIRTUALPITA و VIRTUALPIE ، تسمح للمهاجمين بالوصول التفاعلي إلى برامج المراقبة الذاتية. يسمحون للمهاجمين بتمرير الأوامر من مضيف إلى ضيف ".
يقول مارفي إن مانديانت لاحظ نصًا برمجيًا منفصلاً للبايثون يحدد الأوامر التي يجب تشغيلها وأي جهاز ضيف لتشغيلها.
قالت مانديانت إنها كانت على علم بأقل من 10 منظمات تمكنت فيها الجهات المهددة من اختراق ESXi Hypervisors بهذه الطريقة. ولكن توقع ظهور المزيد من الحوادث ، حذر مورد الأمان في تقريره: "على الرغم من أننا لاحظنا أن التقنية المستخدمة من قبل UNC3886 تتطلب مستوى أعمق من الفهم لنظام التشغيل ESXi ومنصة VMware الافتراضية ، فإننا نتوقع أن تستخدم مجموعة متنوعة من جهات التهديد الأخرى. المعلومات الموضحة في هذا البحث للبدء في بناء قدرات مماثلة ".
يصف VMware VIB بأنه "مجموعة من الملفات مجمعة في أرشيف واحد لتسهيل التوزيع. " وهي مصممة لمساعدة المسؤولين على إدارة الأنظمة الافتراضية ، وتوزيع الثنائيات والتحديثات المخصصة عبر البيئة ، وإنشاء مهام بدء التشغيل وقواعد جدار الحماية المخصصة على إعادة تشغيل نظام ESXi.
تكتيك جديد صعب
حددت VMware أربعة ما يسمى بمستويات القبول لـ VIBs: VMwareCertified VIBs التي تم إنشاؤها واختبارها وتوقيعها ؛ VMwareAccepted VIBs التي تم إنشاؤها وتوقيعها من قبل شركاء VMware المعتمدين ؛ PartnerSupported VIBs من شركاء VMware الموثوق بهم ؛ و CommunitySupported VIBs التي أنشأها أفراد أو شركاء خارج برنامج شركاء VMware. لا يتم اختبار أو دعم VIBs المدعومة من برامج VMware أو الشريك.
قال مانديانت عند إنشاء صورة ESXi ، يتم تعيين أحد مستويات القبول هذه. قال بائع الأمن "أي VIBs المضافة إلى الصورة يجب أن تكون في نفس مستوى القبول أو أعلى". "يساعد هذا في ضمان عدم اختلاط VIBs غير المدعومة بـ VIBs المدعومة عند إنشاء صور ESXi وصيانتها."
الحد الأدنى لمستوى القبول الافتراضي لـ VMware لـ VIB هو PartnerSupported. لكن يمكن للمسؤولين تغيير المستوى يدويًا وإجبار ملف تعريف على تجاهل الحد الأدنى من متطلبات مستوى القبول عند تثبيت VIB ، كما قال Mandiant.
في الحوادث التي لاحظها Mandiant ، يبدو أن المهاجمين قد استخدموا هذه الحقيقة لصالحهم من خلال إنشاء VIB على مستوى CommunitySupport أولاً ثم تعديل ملف الوصف الخاص به لإظهار أن VIB كان PartnerSupported. ثم استخدموا ما يسمى بمعامل إشارة القوة المرتبط باستخدام VIB لتثبيت VIB الخبيث على أجهزة Hypervisors ESXi المستهدفة. أشار Marvi إلى Dark Reading إلى VMware عندما سئل عما إذا كان ينبغي اعتبار معامل القوة نقطة ضعف بالنظر إلى أنه يمنح المسؤولين طريقة لتجاوز الحد الأدنى من متطلبات قبول VIB.
هل عملية الأمان؟
ونفت متحدثة باسم VMware أن المشكلة كانت نقطة ضعف. توصي الشركة بـ Secure Boot لأنه يعطل أمر القوة هذا ، على حد قولها. "كان على المهاجم الوصول الكامل إلى ESXi لتشغيل أمر القوة ، وطبقة ثانية من الأمان في التمهيد الآمن ضرورية لتعطيل هذا الأمر ،" كما تقول.
وتشير أيضًا إلى أن الآليات المتاحة من شأنها أن تسمح للمنظمات بتحديد متى تم العبث بـ VIB. في منشور مدونة نشره VMWare في نفس وقت تقرير Mandiant ، حدد VMware الهجمات على أنها على الأرجح نتيجة لنقاط الضعف الأمنية التشغيلية من جانب المنظمات الضحية. حددت الشركة طرقًا محددة يمكن للمؤسسات من خلالها تكوين بيئاتها للحماية من إساءة استخدام VIB والتهديدات الأخرى.
توصي VMware المؤسسات بتنفيذ التمهيد الآمن والوحدات النمطية للنظام الأساسي الموثوق به ومصادقة المضيف للتحقق من صحة برامج تشغيل البرامج والمكونات الأخرى. قال VMware "عند تمكين التمهيد الآمن ، سيتم حظر استخدام مستوى قبول" CommunitySupported "، مما يمنع المهاجمين من تثبيت VIBs غير الموقعة والموقعة بشكل غير صحيح (حتى مع المعلمة –force كما هو مذكور في التقرير).
وقالت الشركة أيضًا إنه يتعين على المؤسسات تنفيذ ممارسات قوية للتصحيح وإدارة دورة الحياة واستخدام تقنيات مثل VMware Carbon Black Endpoint و VMware NSX لتقوية أعباء العمل.
نشر مانديانت أيضًا منشورًا ثانيًا منفصلًا على المدونة في 29 سبتمبر يوضح بالتفصيل كيف يمكن للمنظمات اكتشاف التهديدات مثل تلك التي لاحظوها وكيفية تقوية بيئات ESXi ضدهم. من بين الدفاعات عزل الشبكة ، وإدارة الهوية والوصول القوية ، وممارسات إدارة الخدمات المناسبة.
يقول مايك باركين ، كبير المهندسين التقنيين في شركة فولكان سايبر ، إن الهجوم يوضح أسلوبًا مثيرًا للاهتمام للغاية للمهاجمين للاحتفاظ بالمثابرة وتوسيع وجودهم في بيئة مستهدفة. يقول: "يبدو الأمر أشبه بشيء تستخدمه الدولة أو التهديد الذي ترعاه الدولة ذات الموارد الجيدة ، في مقابل ما قد تنشره مجموعة APT الإجرامية العامة".
يقول باركين إن تقنيات VMware يمكن أن تكون قوية جدًا ومرنة عند نشرها باستخدام التكوينات الموصى بها من الشركة وأفضل الممارسات الصناعية. "ومع ذلك ، تصبح الأمور أكثر صعوبة عندما يقوم المهاجم بتسجيل الدخول بأوراق اعتماد إدارية. بصفتك مهاجمًا ، إذا تمكنت من الحصول على الجذر ، فلديك مفاتيح المملكة ، إذا جاز التعبير ".
