VMware hat am 29. September dringende neue Abwehrmaßnahmen und Anleitungen für Kunden seiner vSphere-Virtualisierungstechnologie herausgegeben, nachdem Mandiant berichtet hatte, einen in China ansässigen Bedrohungsakteur entdeckt zu haben, der eine beunruhigende neue Technik verwendet, um mehrere dauerhafte Hintertüren auf ESXi-Hypervisoren zu installieren.
Die von Mandiant beobachtete Technik beinhaltet, dass der Bedrohungsakteur – verfolgt als UNC3886 – bösartige vSphere Installation Bundles (VIBs) verwendet, um seine Malware auf Zielsysteme zu schleichen. Dazu benötigten die Angreifer Administratorrechte für den ESXi-Hypervisor. Es gebe jedoch keine Beweise dafür, dass sie irgendeine Schwachstelle in VMware-Produkten ausnutzen müssten, um die Malware einzusetzen, sagte Mandiant.
Breites Spektrum bösartiger Fähigkeiten
Die Hintertüren, die Mandiant hat VIRTUALPITA und VIRTUALPIE getauft, ermöglichen es den Angreifern, eine Reihe böswilliger Aktivitäten durchzuführen. Dazu gehört die Aufrechterhaltung des dauerhaften Administratorzugriffs auf den ESXi-Hypervisor; Senden böswilliger Befehle an die Gast-VM über den Hypervisor; Übertragen von Dateien zwischen dem ESXi-Hypervisor und Gastmaschinen; Manipulation von Protokollierungsdiensten; und Ausführen beliebiger Befehle zwischen VM-Gästen auf demselben Hypervisor.
„Mithilfe des Malware-Ökosystems ist es einem Angreifer möglich, aus der Ferne auf einen Hypervisor zuzugreifen und beliebige Befehle zu senden, die auf einer virtuellen Gastmaschine ausgeführt werden“, sagt Alex Marvi, Sicherheitsberater bei Mandiant. „Die von Mandiant beobachteten Backdoors VIRTUALPITA und VIRTUALPIE ermöglichen Angreifern interaktiven Zugriff auf die Hypervisoren selbst. Sie ermöglichen es Angreifern, die Befehle vom Host an den Gast weiterzugeben.“
Laut Marvi hat Mandiant ein separates Python-Skript beobachtet, das angibt, welche Befehle ausgeführt werden sollen und auf welchem Gastcomputer sie ausgeführt werden sollen.
Mandiant sagte, dass ihm weniger als 10 Organisationen bekannt seien, bei denen es den Bedrohungsakteuren gelungen sei, ESXi-Hypervisoren auf diese Weise zu kompromittieren. Erwarten Sie jedoch, dass weitere Vorfälle auftauchen, warnte der Sicherheitsanbieter in seinem Bericht: „Obwohl wir festgestellt haben, dass die von UNC3886 verwendete Technik ein tieferes Verständnis des ESXi-Betriebssystems und der Virtualisierungsplattform von VMware erfordert, gehen wir davon aus, dass eine Vielzahl anderer Bedrohungsakteure diese nutzen werden die in dieser Studie skizzierten Informationen, um mit dem Aufbau ähnlicher Fähigkeiten zu beginnen.“
VMware beschreibt ein VIB als „Sammlung von Dateien in einem einzigen Archiv verpackt, um die Verteilung zu erleichtern.“ Sie sollen Administratoren dabei helfen, virtuelle Systeme zu verwalten, benutzerdefinierte Binärdateien und Updates in der Umgebung zu verteilen und Startaufgaben und benutzerdefinierte Firewall-Regeln beim Neustart des ESXi-Systems zu erstellen.
Knifflige neue Taktik
VMware hat vier sogenannte Akzeptanzebenen für VIBs festgelegt: VMware-zertifizierte VIBs, die von VMware erstellt, getestet und signiert wurden; Von VMware akzeptierte VIBs, die von zugelassenen VMware-Partnern erstellt und signiert wurden; Von Partnern unterstützte VIBs von vertrauenswürdigen VMware-Partnern; und von der Community unterstützte VIBs, die von Einzelpersonen oder Partnern außerhalb des VMware-Partnerprogramms erstellt wurden. Von der Community unterstützte VIBs werden nicht von VMware oder Partnern getestet oder unterstützt.
Wenn ein ESXi-Image erstellt wird, wird ihm eine dieser Akzeptanzstufen zugewiesen, sagte Mandiant. „Alle dem Image hinzugefügten VIBs müssen dieselbe Akzeptanzebene oder eine höhere aufweisen“, sagte der Sicherheitsanbieter. „Dadurch wird sichergestellt, dass nicht unterstützte VIBs beim Erstellen und Verwalten von ESXi-Images nicht mit unterstützten VIBs vermischt werden.“
Die standardmäßige Mindestakzeptanzebene von VMware für ein VIB ist PartnerSupported. Administratoren können die Ebene jedoch manuell ändern und ein Profil zwingen, die Mindestanforderungen an die Akzeptanzebene bei der Installation eines VIB zu ignorieren, sagte Mandiant.
Bei den von Mandiant beobachteten Vorfällen scheinen die Angreifer diese Tatsache zu ihrem Vorteil ausgenutzt zu haben, indem sie zunächst ein VIB auf CommunitySupport-Ebene erstellt und dann dessen Deskriptordatei geändert haben, um den Anschein zu erwecken, dass das VIB PartnerSupported sei. Anschließend verwendeten sie einen sogenannten Force-Flag-Parameter im Zusammenhang mit der VIB-Nutzung, um das schädliche VIB auf den Ziel-ESXi-Hypervisoren zu installieren. Marvi verwies Dark Reading auf VMware, als er gefragt wurde, ob der Force-Parameter als Schwachstelle angesehen werden sollte, wenn man bedenkt, dass er Administratoren die Möglichkeit gibt, die Mindestanforderungen für die VIB-Annahme zu überschreiben.
Sicherheitslücke im Betrieb?
Eine VMware-Sprecherin bestritt, dass das Problem eine Schwachstelle sei. Das Unternehmen empfiehlt Secure Boot, da es diesen Force-Befehl deaktiviert, sagt sie. „Der Angreifer musste vollen Zugriff auf ESXi haben, um den Force-Befehl auszuführen, und eine zweite Sicherheitsebene in Secure Boot ist erforderlich, um diesen Befehl zu deaktivieren“, sagt sie.
Sie weist auch darauf hin, dass Mechanismen verfügbar sind, die es Organisationen ermöglichen würden, zu erkennen, wann ein VIB möglicherweise manipuliert wurde. In einem Blogbeitrag, den VMWare zeitgleich mit dem Bericht von Mandiant veröffentlichte, bezeichnete VMware die Angriffe als solche wahrscheinlich das Ergebnis von Betriebssicherheitsschwächen seitens der Opferorganisationen. Das Unternehmen skizzierte spezifische Möglichkeiten, wie Organisationen ihre Umgebungen so konfigurieren können, dass sie sich vor VIB-Missbrauch und anderen Bedrohungen schützen.
VMware empfiehlt Organisationen, Secure Boot, Trusted Platform Modules und Host Attestation zu implementieren, um Softwaretreiber und andere Komponenten zu validieren. „Wenn Secure Boot aktiviert ist, wird die Verwendung der Akzeptanzebene ‚CommunitySupported‘ blockiert, wodurch Angreifer daran gehindert werden, nicht signierte und falsch signierte VIBs zu installieren (selbst mit dem Parameter –force, wie im Bericht erwähnt)“, sagte VMware.
Das Unternehmen sagte auch, dass Organisationen robuste Patching- und Lifecycle-Management-Praktiken implementieren und Technologien wie VMware Carbon Black Endpoint und VMware NSX Suite verwenden sollten, um Workloads zu härten.
Mandiant veröffentlichte am 29. September auch einen separaten zweiten Blogbeitrag, der detailliert war wie Organisationen Bedrohungen erkennen können wie die, die sie beobachtet haben, und wie sie ihre ESXi-Umgebungen dagegen härten können. Zu den Abwehrmaßnahmen gehören Netzwerkisolation, starkes Identitäts- und Zugriffsmanagement und ordnungsgemäße Dienstverwaltungspraktiken.
Mike Parkin, leitender technischer Ingenieur bei Vulcan Cyber, sagt, der Angriff zeige eine sehr interessante Technik für Angreifer, um hartnäckig zu bleiben und ihre Präsenz in einer Zielumgebung zu erweitern. „Es sieht eher nach etwas aus, das eine gut ausgestattete staatliche oder staatlich geförderte Bedrohung einsetzen würde, im Gegensatz zu dem, was eine gewöhnliche kriminelle APT-Gruppe einsetzen würde“, sagt er.
Laut Parkin können VMware-Technologien sehr robust und widerstandsfähig sein, wenn sie mit den vom Unternehmen empfohlenen Konfigurationen und branchenüblichen Best Practices bereitgestellt werden. „Die Dinge werden jedoch viel schwieriger, wenn sich der Angreifer mit administrativen Anmeldeinformationen anmeldet. Wenn Sie als Angreifer Wurzeln schlagen können, haben Sie sozusagen die Schlüssel zum Königreich.“
