VMware udsendte presserende nye afhjælpende foranstaltninger og vejledning den 29. september til kunder af deres vSphere-virtualiseringsteknologi, efter at Mandiant rapporterede, at han opdagede en Kina-baseret trusselsaktør, der bruger en bekymrende ny teknik til at installere flere vedvarende bagdøre på ESXi-hypervisorer.
Teknikken, som Mandiant observerede, involverer trusselsaktøren - sporet som UNC3886 - ved at bruge ondsindede vSphere Installation Bundles (VIB'er) til at snige deres malware ind på målsystemer. For at gøre det krævede angriberne admin-niveau privilegier til ESXi hypervisor. Men der var ingen beviser for, at de skulle udnytte enhver sårbarhed i VMwares produkter for at implementere malwaren, sagde Mandiant.
Bred vifte af ondsindede funktioner
Bagdørene, som Mandiant har døbt VIRTUALPITA og VIRTUALPIE, gør det muligt for angriberne at udføre en række ondsindede aktiviteter. Dette inkluderer opretholdelse af vedvarende administratoradgang til ESXi-hypervisoren; sende ondsindede kommandoer til gæste-VM'en via hypervisoren; overførsel af filer mellem ESXi hypervisor og gæstemaskiner; manipulation med logningstjenester; og udførelse af vilkårlige kommandoer mellem VM-gæster på den samme hypervisor.
"Ved at bruge malware-økosystemet er det muligt for en angriber at få fjernadgang til en hypervisor og sende vilkårlige kommandoer, der vil blive udført på en virtuel gæstemaskine," siger Alex Marvi, sikkerhedskonsulent hos Mandiant. "De bagdøre, som Mandiant observerede, VIRTUALPITA og VIRTUALPIE, giver angribere interaktiv adgang til selve hypervisorerne. De tillader angribere at videregive kommandoerne fra vært til gæst."
Marvi siger, at Mandiant observerede et separat Python-script, der specificerede, hvilke kommandoer der skulle køres, og hvilken gæstemaskine de skulle køre dem på.
Mandiant sagde, at det var opmærksom på færre end 10 organisationer, hvor trusselsaktørerne havde formået at kompromittere ESXi-hypervisorer på denne måde. Men forvent, at flere hændelser dukker op, advarede sikkerhedsleverandøren i sin rapport: "Selvom vi bemærkede, at teknikken, der bruges af UNC3886, kræver et dybere niveau af forståelse af ESXi-operativsystemet og VMwares virtualiseringsplatform, forventer vi, at en række andre trusselsaktører vil bruge oplysningerne skitseret i denne forskning for at begynde at opbygge lignende kapaciteter."
VMware beskriver en VIB som en "samling af filer pakket ind i et enkelt arkiv for at lette distributionen." De er designet til at hjælpe administratorer med at administrere virtuelle systemer, distribuere brugerdefinerede binære filer og opdateringer på tværs af miljøet og oprette opstartsopgaver og tilpassede firewallregler ved genstart af ESXi-systemet.
Vanskelig ny taktik
VMware har udpeget fire såkaldte acceptniveauer for VIB'er: VMwareCertified VIB'er, der er VMware-skabte, testede og signerede; VMwareAccepterede VIB'er, der er oprettet og underskrevet af godkendte VMware-partnere; Partnerunderstøttede VIB'er fra betroede VMware-partnere; og fællesskabsunderstøttede VIB'er oprettet af enkeltpersoner eller partnere uden for VMware-partnerprogrammet. Community-understøttede VIB'er er ikke VMware- eller partnertestede eller understøttede.
Når et ESXi-billede er oprettet, tildeles det et af disse acceptniveauer, sagde Mandiant. "Alle VIB'er, der føjes til billedet, skal være på samme acceptniveau eller højere," sagde sikkerhedsleverandøren. "Dette hjælper med at sikre, at ikke-understøttede VIB'er ikke bliver blandet ind med understøttede VIB'er, når du opretter og vedligeholder ESXi-billeder."
VMwares standard minimum acceptniveau for en VIB er PartnerSupported. Men administratorer kan ændre niveauet manuelt og tvinge en profil til at ignorere minimumskrav til acceptniveau, når de installerer en VIB, sagde Mandiant.
I de hændelser, som Mandiant observerede, ser angriberne ud til at have brugt denne kendsgerning til deres fordel ved først at oprette en VIB på CommunitySupport-niveau og derefter ændre dens deskriptorfil for at få det til at se ud til, at VIB var partnerunderstøttet. De brugte derefter en såkaldt force flag-parameter forbundet med VIB-brug til at installere den ondsindede VIB på mål-ESXi-hypervisorerne. Marvi pegede Dark Reading til VMware, da han blev spurgt, om kraftparameteren skulle betragtes som en svaghed i betragtning af, at den giver administratorer en måde at tilsidesætte minimumskravene til VIB-accept.
Operation Sikkerhed bortfalder?
En talskvinde for VMware afviste, at problemet var en svaghed. Virksomheden anbefaler Secure Boot, fordi det deaktiverer denne kraftkommando, siger hun. "Angriberen skulle have fuld adgang til ESXi for at køre kraftkommandoen, og et andet sikkerhedslag i Secure Boot er nødvendigt for at deaktivere denne kommando," siger hun.
Hun bemærker også, at der er mekanismer til rådighed, som gør det muligt for organisationer at identificere, hvornår en VIB kan være blevet manipuleret. I et blogindlæg, som VMWare udgav samtidig med Mandians rapport, identificerede VMware angrebene som sandsynligvis et resultat af driftssikkerhedssvagheder fra offerorganisationernes side. Virksomheden skitserede specifikke måder, hvorpå organisationer kan konfigurere deres miljøer til at beskytte mod VIB-misbrug og andre trusler.
VMware anbefaler, at organisationer implementerer Secure Boot, Trusted Platform Modules og Host Attestation for at validere softwaredrivere og andre komponenter. "Når Secure Boot er aktiveret, vil brugen af 'CommunitySupported' acceptniveau blive blokeret, hvilket forhindrer angribere i at installere usignerede og ukorrekt signerede VIB'er (selv med parameteren –force som angivet i rapporten)," sagde VMware.
Virksomheden sagde også, at organisationer bør implementere robuste patching- og livscyklusstyringspraksisser og bruge teknologier såsom dets VMware Carbon Black Endpoint og VMware NSX-suite til at hærde arbejdsbelastninger.
Mandiant udgav også et separat andet blogindlæg den 29. september, der beskrev detaljeret hvordan organisationer kan opdage trusler som den, de observerede, og hvordan man hærder deres ESXi-miljøer mod dem. Blandt forsvarene er netværksisolering, stærk identitets- og adgangsstyring og korrekt serviceledelsespraksis.
Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, siger, at angrebet demonstrerer en meget interessant teknik for angribere til at bevare vedholdenhed og udvide deres tilstedeværelse i et målrettet miljø. "Det ligner mere noget, som en stats- eller statssponsoreret trussel med gode ressourcer ville bruge, i forhold til hvad en almindelig kriminel APT-gruppe ville implementere," siger han.
Parkin siger, at VMware-teknologier kan være meget robuste og modstandsdygtige, når de implementeres ved hjælp af virksomhedens anbefalede konfigurationer og industriens bedste praksis. “Tingene bliver dog meget mere udfordrende, når trusselsaktøren logger på med administrative akkreditiver. Som angriber, hvis du kan få rod, har du nøglerne til riget, så at sige."
