VMware তার vSphere ভার্চুয়ালাইজেশন প্রযুক্তির গ্রাহকদের জন্য 29 সেপ্টেম্বর জরুরী নতুন প্রশমন ব্যবস্থা এবং নির্দেশিকা জারি করেছে যখন Mandiant ESXi হাইপারভাইজারগুলিতে একাধিক ক্রমাগত ব্যাকডোর ইনস্টল করার জন্য একটি সমস্যাজনক নতুন কৌশল ব্যবহার করে একজন চীন-ভিত্তিক হুমকি অভিনেতা সনাক্ত করেছে।
ম্যান্ডিয়েন্ট যে কৌশলটি পর্যবেক্ষণ করেছে তাতে হুমকি অভিনেতা জড়িত — UNC3886 হিসাবে ট্র্যাক করা হয়েছে — ক্ষতিকারক vSphere ইনস্টলেশন বান্ডেল (VIBs) ব্যবহার করে তাদের ম্যালওয়্যার টার্গেট সিস্টেমে লুকিয়ে রাখতে। এটি করার জন্য, আক্রমণকারীদের ESXi হাইপারভাইজারে প্রশাসক-স্তরের বিশেষাধিকার প্রয়োজন। কিন্তু ম্যালওয়্যার মোতায়েন করার জন্য VMware-এর পণ্যগুলির কোনও দুর্বলতা কাজে লাগানোর প্রয়োজন ছিল এমন কোনও প্রমাণ নেই, ম্যান্ডিয়েন্ট বলেছেন।
দূষিত ক্ষমতার বিস্তৃত পরিসর
পিছনের দরজা, যা Mandiant VIRTUALPITA এবং VIRTUALPIE ডাব করেছে, আক্রমণকারীদের বিভিন্ন ধরনের দূষিত কার্যকলাপ চালাতে সক্ষম করে। এর মধ্যে রয়েছে ESXi হাইপারভাইজারে ক্রমাগত অ্যাডমিন অ্যাক্সেস বজায় রাখা; হাইপারভাইজারের মাধ্যমে গেস্ট ভিএম-কে দূষিত কমান্ড পাঠানো; ESXi হাইপারভাইজার এবং গেস্ট মেশিনের মধ্যে ফাইল স্থানান্তর; লগিং পরিষেবার সাথে কারসাজি; এবং একই হাইপারভাইজারে VM গেস্টদের মধ্যে নির্বিচারে আদেশ কার্যকর করা।
"ম্যালওয়্যার ইকোসিস্টেম ব্যবহার করে, একজন আক্রমণকারীর পক্ষে দূরবর্তীভাবে একটি হাইপারভাইজার অ্যাক্সেস করা এবং নির্বিচারে আদেশ পাঠানো সম্ভব যা অতিথি ভার্চুয়াল মেশিনে কার্যকর করা হবে," বলেছেন ম্যান্ডিয়েন্টের নিরাপত্তা পরামর্শদাতা অ্যালেক্স মারভি৷ “ব্যাকডোর ম্যান্ডিয়েন্ট পর্যবেক্ষণ করা হয়েছে, ভার্চুয়ালপিটা এবং ভার্চুয়ালপি, আক্রমণকারীদের হাইপারভাইজারগুলিতে ইন্টারেক্টিভ অ্যাক্সেসের অনুমতি দেয়। তারা আক্রমণকারীদের হোস্ট থেকে অতিথির কাছে কমান্ড দেওয়ার অনুমতি দেয়।"
মারভি বলেছেন যে ম্যান্ডিয়েন্ট একটি পৃথক পাইথন স্ক্রিপ্ট পর্যবেক্ষণ করেছে যা নির্দিষ্ট করে কোন কমান্ডগুলি চালাতে হবে এবং কোন গেস্ট মেশিনগুলি চালাতে হবে।
ম্যান্ডিয়েন্ট বলেছেন যে এটি 10 টিরও কম সংস্থা সম্পর্কে সচেতন যেখানে হুমকি অভিনেতারা এই পদ্ধতিতে ESXi হাইপারভাইজারদের সাথে আপস করতে পেরেছিল। তবে আরও ঘটনা সামনে আসার আশা করুন, নিরাপত্তা বিক্রেতা তার প্রতিবেদনে সতর্ক করেছে: “যদিও আমরা লক্ষ্য করেছি যে UNC3886 দ্বারা ব্যবহৃত কৌশলটির জন্য ESXi অপারেটিং সিস্টেম এবং VMware-এর ভার্চুয়ালাইজেশন প্ল্যাটফর্মের গভীর স্তরের বোঝার প্রয়োজন, আমরা আশা করি যে অন্যান্য বিভিন্ন হুমকি অভিনেতা ব্যবহার করবে। এই গবেষণায় বর্ণিত তথ্যগুলি অনুরূপ ক্ষমতা তৈরি করতে শুরু করবে।"
ভিএমওয়্যার একটি VIB কে একটি হিসাবে বর্ণনা করেফাইল সংগ্রহ বিতরণের সুবিধার্থে একটি একক সংরক্ষণাগারে প্যাকেজ করা হয়েছে।" এগুলি প্রশাসকদের ভার্চুয়াল সিস্টেমগুলি পরিচালনা করতে, পরিবেশ জুড়ে কাস্টম বাইনারি এবং আপডেটগুলি বিতরণ করতে এবং ESXi সিস্টেম রিস্টার্টে স্টার্টআপ কাজ এবং কাস্টম ফায়ারওয়াল নিয়ম তৈরি করতে সহায়তা করার জন্য ডিজাইন করা হয়েছে।
কৌশলী নতুন কৌশল
ভিএমওয়্যার VIB-গুলির জন্য চারটি তথাকথিত গ্রহণযোগ্যতা স্তর মনোনীত করেছে: VMwareCertified VIB যেগুলি VMware তৈরি, পরীক্ষিত এবং স্বাক্ষরিত; VMware স্বীকৃত VIB যেগুলি অনুমোদিত VMware অংশীদারদের দ্বারা তৈরি এবং স্বাক্ষরিত হয়; বিশ্বস্ত VMware অংশীদারদের থেকে অংশীদার সমর্থিত VIB; এবং VMware পার্টনার প্রোগ্রামের বাইরে ব্যক্তি বা অংশীদারদের দ্বারা তৈরি কমিউনিটি-সমর্থিত VIB। কমিউনিটি সমর্থিত VIB গুলি VMware- বা অংশীদার-পরীক্ষিত বা সমর্থিত নয়৷
যখন একটি ESXi ইমেজ তৈরি করা হয়, তখন এটি এই গ্রহণযোগ্যতার স্তরগুলির মধ্যে একটি বরাদ্দ করা হয়, ম্যান্ডিয়েন্ট বলেছেন। "ইমেজে যোগ করা যেকোনো VIB অবশ্যই একই গ্রহণযোগ্যতা স্তরে বা উচ্চতর হতে হবে," নিরাপত্তা বিক্রেতা বলেছেন। "এটি নিশ্চিত করতে সাহায্য করে যে ESXi ছবিগুলি তৈরি এবং বজায় রাখার সময় সমর্থিত VIB গুলি সমর্থিত VIB-এর সাথে মিশে না যায়।"
একটি VIB-এর জন্য VMware-এর ডিফল্ট সর্বনিম্ন গ্রহণযোগ্যতা স্তর হল অংশীদার সমর্থিত৷ কিন্তু অ্যাডমিনিস্ট্রেটররা ম্যানুয়ালি লেভেল পরিবর্তন করতে পারেন এবং VIB ইনস্টল করার সময় ন্যূনতম গ্রহণযোগ্যতা স্তরের প্রয়োজনীয়তা উপেক্ষা করতে একটি প্রোফাইলকে বাধ্য করতে পারেন, ম্যান্ডিয়েন্ট বলেছেন।
ম্যান্ডিয়েন্ট যে ঘটনাগুলি পর্যবেক্ষণ করেছেন, আক্রমণকারীরা প্রথমে একটি কমিউনিটি সাপোর্ট-লেভেল VIB তৈরি করে এবং তারপরে VIB অংশীদার সমর্থিত ছিল তা দেখানোর জন্য এটির বর্ণনাকারী ফাইলটি পরিবর্তন করে তাদের সুবিধার জন্য এই সত্যটিকে ব্যবহার করেছে বলে মনে হচ্ছে৷ তারপর তারা লক্ষ্য ESXi হাইপারভাইজারগুলিতে ক্ষতিকারক VIB ইনস্টল করতে VIB ব্যবহারের সাথে যুক্ত একটি তথাকথিত ফোর্স ফ্ল্যাগ প্যারামিটার ব্যবহার করে। মারভি ডার্ক রিডিংকে ভিএমওয়্যারের দিকে নির্দেশ করে যখন জিজ্ঞাসা করা হয়েছিল যে ফোর্স প্যারামিটারটিকে দুর্বলতা হিসাবে বিবেচনা করা উচিত যে এটি প্রশাসকদের ন্যূনতম VIB গ্রহণযোগ্যতার প্রয়োজনীয়তাগুলিকে ওভাররাইড করার একটি উপায় দেয়।
অপারেশন সিকিউরিটি ল্যাপস?
ভিএমওয়্যারের একজন মুখপাত্র অস্বীকার করেছেন যে সমস্যাটি একটি দুর্বলতা। কোম্পানি সিকিউর বুট সুপারিশ করে কারণ এটি এই ফোর্স কমান্ডকে অক্ষম করে, সে বলে। "আক্রমণকারীকে ফোর্স কমান্ড চালানোর জন্য ESXi তে সম্পূর্ণ অ্যাক্সেস থাকতে হয়েছিল এবং এই কমান্ডটি নিষ্ক্রিয় করার জন্য সিকিউর বুটে নিরাপত্তার দ্বিতীয় স্তর প্রয়োজন," সে বলে।
তিনি আরও উল্লেখ করেছেন যে এমন ব্যবস্থা উপলব্ধ রয়েছে যা সংস্থাগুলিকে সনাক্ত করতে দেয় যে কখন একটি VIB এর সাথে টেম্পার করা হয়েছে। একটি ব্লগ পোস্টে যে VMWare একই সময়ে Mandiant-এর রিপোর্ট প্রকাশ করেছে, VMware আক্রমণগুলিকে চিহ্নিত করেছে সম্ভবত অপারেশনাল নিরাপত্তা দুর্বলতার ফলাফল ভুক্তভোগী সংগঠনগুলোর পক্ষ থেকে। VIB অপব্যবহার এবং অন্যান্য হুমকির বিরুদ্ধে সুরক্ষার জন্য সংস্থাগুলি তাদের পরিবেশগুলি কনফিগার করতে পারে এমন নির্দিষ্ট উপায়গুলিকে কোম্পানি রূপরেখা দিয়েছে৷
VMware সুপারিশ করে যে সংস্থাগুলি সফ্টওয়্যার ড্রাইভার এবং অন্যান্য উপাদানগুলিকে যাচাই করতে সিকিউর বুট, ট্রাস্টেড প্ল্যাটফর্ম মডিউল এবং হোস্ট অ্যাটেস্টেশন প্রয়োগ করে৷ "যখন সিকিউর বুট সক্ষম করা হয় তখন 'কমিউনিটি-সমর্থিত' গ্রহণযোগ্যতা স্তরের ব্যবহার অবরুদ্ধ করা হবে, আক্রমণকারীদের স্বাক্ষরবিহীন এবং ভুলভাবে স্বাক্ষরিত VIB ইনস্টল করা থেকে বাধা দেবে (এমনকি -ফোর্স প্যারামিটারের সাথে যেমন রিপোর্টে উল্লেখ করা হয়েছে)," VMware বলেছে৷
সংস্থাটি আরও বলেছে যে সংস্থাগুলিকে শক্তিশালী প্যাচিং এবং লাইফ-সাইকেল ম্যানেজমেন্ট অনুশীলনগুলি প্রয়োগ করা উচিত এবং কাজের বোঝা শক্ত করতে এর VMware কার্বন ব্ল্যাক এন্ডপয়েন্ট এবং VMware NSX স্যুটের মতো প্রযুক্তি ব্যবহার করা উচিত।
Mandiant এছাড়াও 29 সেপ্টেম্বর একটি পৃথক দ্বিতীয় ব্লগ পোস্ট প্রকাশ করেছে যে বিস্তারিত সংস্থাগুলি কীভাবে হুমকি সনাক্ত করতে পারে যেমন তারা পর্যবেক্ষণ করেছে এবং কীভাবে তাদের বিরুদ্ধে তাদের ESXi পরিবেশকে কঠোর করা যায়। প্রতিরক্ষার মধ্যে রয়েছে নেটওয়ার্ক বিচ্ছিন্নতা, শক্তিশালী পরিচয় এবং অ্যাক্সেস ম্যানেজমেন্ট এবং সঠিক পরিষেবা ব্যবস্থাপনা অনুশীলন।
ভলকান সাইবারের সিনিয়র কারিগরি প্রকৌশলী মাইক পারকিন বলেছেন যে আক্রমণটি আক্রমণকারীদের জেদ ধরে রাখতে এবং লক্ষ্যবস্তু পরিবেশে তাদের উপস্থিতি প্রসারিত করার জন্য একটি খুব আকর্ষণীয় কৌশল প্রদর্শন করে। "এটি এমন কিছুর মতো দেখায় যা একটি ভাল সম্পদযুক্ত রাষ্ট্র- বা রাষ্ট্র-স্পন্সর করা হুমকি ব্যবহার করবে, বনাম একটি সাধারণ অপরাধী এপিটি গ্রুপ কী মোতায়েন করবে," তিনি বলেছেন।
পার্কিন বলেছেন যে কোম্পানির প্রস্তাবিত কনফিগারেশন এবং শিল্পের সর্বোত্তম অনুশীলনগুলি ব্যবহার করে মোতায়েন করা হলে VMware প্রযুক্তিগুলি খুব শক্তিশালী এবং স্থিতিস্থাপক হতে পারে। “তবে, হুমকি অভিনেতা যখন প্রশাসনিক শংসাপত্রের সাথে লগ ইন করছেন তখন জিনিসগুলি আরও বেশি চ্যালেঞ্জিং হয়ে ওঠে। একজন আক্রমণকারী হিসাবে, আপনি যদি রুট পেতে পারেন তবে আপনার কাছে রাজ্যের চাবি রয়েছে, তাই বলতে হবে।"
