Επικίνδυνη νέα τεχνική επίθεσης που διακυβεύει VMware ESXi Hypervisors

Η VMware εξέδωσε επείγοντα νέα μέτρα μετριασμού και καθοδήγηση στις 29 Σεπτεμβρίου για τους πελάτες της τεχνολογίας εικονικοποίησης vSphere, αφού η Mandiant ανέφερε ότι ανίχνευσε έναν παράγοντα απειλής με βάση την Κίνα χρησιμοποιώντας μια προβληματική νέα τεχνική για την εγκατάσταση πολλαπλών μόνιμων backdoors σε υπερβάτες ESXi.

Η τεχνική που παρατήρησε ο Mandiant περιλαμβάνει τον παράγοντα απειλής —που παρακολουθείται ως UNC3886— χρησιμοποιώντας κακόβουλα πακέτα εγκατάστασης vSphere (VIBs) για να κρυφτεί το κακόβουλο λογισμικό του σε συστήματα-στόχους. Για να γίνει αυτό, οι εισβολείς απαιτούσαν προνόμια σε επίπεδο διαχειριστή για τον υπερεπόπτη ESXi. Ωστόσο, δεν υπήρχαν αποδείξεις ότι έπρεπε να εκμεταλλευτούν οποιαδήποτε ευπάθεια στα προϊόντα της VMware για να αναπτύξουν το κακόβουλο λογισμικό, είπε ο Mandiant.

Ευρύ φάσμα κακόβουλων δυνατοτήτων

Οι κερκόπορτες, οι οποίες Η Mandiant έχει μεταγλωττίσει VIRTUALPITA και VIRTUALPIE, δίνουν τη δυνατότητα στους εισβολείς να πραγματοποιούν μια σειρά από κακόβουλες δραστηριότητες. Αυτό περιλαμβάνει τη διατήρηση μόνιμης πρόσβασης διαχειριστή στον υπερεπόπτη ESXi. αποστολή κακόβουλων εντολών στο Guest VM μέσω του hypervisor. μεταφορά αρχείων μεταξύ του hypervisor ESXi και των υπολογιστών επισκεπτών. παραβίαση των υπηρεσιών υλοτομίας· και εκτέλεση αυθαίρετων εντολών μεταξύ προσκεκλημένων VM στον ίδιο hypervisor.

«Χρησιμοποιώντας το οικοσύστημα κακόβουλου λογισμικού, είναι δυνατό για έναν εισβολέα να αποκτήσει απομακρυσμένη πρόσβαση σε έναν υπερεπόπτη και να στείλει αυθαίρετες εντολές που θα εκτελεστούν σε μια εικονική μηχανή φιλοξενουμένων», λέει ο Alex Marvi, σύμβουλος ασφαλείας στη Mandiant. «Οι κερκόπορτες που παρατήρησε η Mandiant, VIRTUALPITA και VIRTUALPIE, επιτρέπουν στους εισβολείς διαδραστική πρόσβαση στους ίδιους τους hypervisors. Επιτρέπουν στους επιτιθέμενους να περάσουν τις εντολές από τον οικοδεσπότη στον επισκέπτη.» 

Ο Marvi λέει ότι ο Mandiant παρατήρησε ένα ξεχωριστό σενάριο Python που καθόριζε ποιες εντολές θα εκτελεστούν και σε ποιο μηχάνημα επισκέπτη θα εκτελεστούν.

Η Mandiant είπε ότι γνώριζε λιγότερους από 10 οργανισμούς στους οποίους οι παράγοντες της απειλής κατάφεραν να υπονομεύσουν τους υπερεπόπτες του ESXi με αυτόν τον τρόπο. Ωστόσο, αναμένετε να εμφανιστούν περισσότερα περιστατικά, προειδοποίησε ο προμηθευτής ασφαλείας στην έκθεσή του: «Ενώ σημειώσαμε ότι η τεχνική που χρησιμοποιείται από το UNC3886 απαιτεί βαθύτερο επίπεδο κατανόησης του λειτουργικού συστήματος ESXi και της πλατφόρμας εικονικοποίησης του VMware, αναμένουμε ότι θα χρησιμοποιήσει μια ποικιλία άλλων παραγόντων απειλής τις πληροφορίες που περιγράφονται σε αυτή την έρευνα για να αρχίσουμε να αναπτύσσουμε παρόμοιες δυνατότητες».

Το VMware περιγράφει ένα VIB ως "συλλογή αρχείων συσκευασμένο σε ένα ενιαίο αρχείο για να διευκολυνθεί η διανομή.» Έχουν σχεδιαστεί για να βοηθούν τους διαχειριστές να διαχειρίζονται εικονικά συστήματα, να διανέμουν προσαρμοσμένα δυαδικά αρχεία και ενημερώσεις σε όλο το περιβάλλον και να δημιουργούν εργασίες εκκίνησης και προσαρμοσμένους κανόνες τείχους προστασίας κατά την επανεκκίνηση του συστήματος ESXi.

Δύσκολη νέα τακτική

Η VMware έχει ορίσει τέσσερα λεγόμενα επίπεδα αποδοχής για VIB: VMwareCertified VIB που δημιουργούνται, δοκιμάζονται και υπογράφονται από το VMware. VMwareAccepted VIB που δημιουργούνται και υπογράφονται από εγκεκριμένους συνεργάτες VMware. Υποστηριζόμενα από συνεργάτες VIB από αξιόπιστους συνεργάτες VMware. και CommunitySupported VIBs που δημιουργήθηκαν από άτομα ή συνεργάτες εκτός του προγράμματος συνεργατών VMware. Τα VIB που υποστηρίζονται από την Κοινότητα δεν έχουν δοκιμαστεί ούτε υποστηρίζονται από VMware ή συνεργάτες.

Όταν δημιουργείται μια εικόνα ESXi, της εκχωρείται ένα από αυτά τα επίπεδα αποδοχής, είπε ο Mandiant. "Τυχόν VIB που προστίθενται στην εικόνα πρέπει να είναι στο ίδιο επίπεδο αποδοχής ή υψηλότερο", είπε ο προμηθευτής ασφαλείας. "Αυτό βοηθά να διασφαλιστεί ότι τα μη υποστηριζόμενα VIB δεν αναμιγνύονται με τα υποστηριζόμενα VIB κατά τη δημιουργία και τη διατήρηση εικόνων ESXi." 

Το προεπιλεγμένο ελάχιστο επίπεδο αποδοχής του VMware για ένα VIB είναι το PartnerSupported. Ωστόσο, οι διαχειριστές μπορούν να αλλάξουν το επίπεδο με μη αυτόματο τρόπο και να αναγκάσουν ένα προφίλ να αγνοήσει τις απαιτήσεις ελάχιστου επιπέδου αποδοχής κατά την εγκατάσταση ενός VIB, είπε ο Mandiant.

Στα περιστατικά που παρατήρησε η Mandiant, οι εισβολείς φαίνεται ότι χρησιμοποίησαν αυτό το γεγονός προς όφελός τους δημιουργώντας πρώτα ένα VIB επιπέδου CommunitySupport και στη συνέχεια τροποποιώντας το αρχείο περιγραφής του ώστε να φαίνεται ότι το VIB ήταν PartnerSupported. Στη συνέχεια χρησιμοποίησαν μια λεγόμενη παράμετρο σημαίας δύναμης που σχετίζεται με τη χρήση του VIB για να εγκαταστήσουν το κακόβουλο VIB στους υπερεπιβάτες ESXi-στόχους. Η Marvi έδειξε το Dark Reading στο VMware όταν ρωτήθηκε εάν η παράμετρος δύναμης πρέπει να θεωρείται αδυναμία, δεδομένου ότι δίνει στους διαχειριστές έναν τρόπο να παρακάμψουν τις ελάχιστες απαιτήσεις αποδοχής VIB.

Λήξη ασφάλειας λειτουργίας;

Μια εκπρόσωπος της VMware αρνήθηκε ότι το ζήτημα ήταν αδυναμία. Η εταιρεία προτείνει το Secure Boot επειδή απενεργοποιεί αυτήν την εντολή δύναμης, λέει. «Ο εισβολέας έπρεπε να έχει πλήρη πρόσβαση στο ESXi για να εκτελέσει την εντολή δύναμης και ένα δεύτερο επίπεδο ασφάλειας στο Secure Boot είναι απαραίτητο για να απενεργοποιηθεί αυτή η εντολή», λέει. 

Σημειώνει επίσης ότι υπάρχουν διαθέσιμοι μηχανισμοί που θα επιτρέπουν στους οργανισμούς να αναγνωρίζουν πότε ένα VIB μπορεί να έχει παραβιαστεί. Σε μια ανάρτηση ιστολογίου που δημοσίευσε το VMWare ταυτόχρονα με την αναφορά του Mandiant, η VMware προσδιόρισε τις επιθέσεις ως πιθανώς αποτέλεσμα αδυναμιών επιχειρησιακής ασφάλειας από την πλευρά των οργανώσεων των θυμάτων. Η εταιρεία περιέγραψε συγκεκριμένους τρόπους με τους οποίους οι οργανισμοί μπορούν να διαμορφώσουν τα περιβάλλοντά τους για προστασία από κακή χρήση του VIB και άλλες απειλές.

Η VMware συνιστά στους οργανισμούς να εφαρμόζουν Secure Boot, Trusted Platform Modules και Host Attestation για την επικύρωση προγραμμάτων οδήγησης λογισμικού και άλλων στοιχείων. «Όταν είναι ενεργοποιημένη η Ασφαλής εκκίνηση, η χρήση του επιπέδου αποδοχής «CommunitySupported» θα αποκλειστεί, αποτρέποντας τους εισβολείς από το να εγκαταστήσουν ανυπόγραφα και ακατάλληλα υπογεγραμμένα VIB (ακόμη και με την παράμετρο –force όπως σημειώνεται στην αναφορά)», δήλωσε η VMware.

Η εταιρεία είπε επίσης ότι οι οργανισμοί θα πρέπει να εφαρμόσουν ισχυρές πρακτικές επιδιόρθωσης και διαχείρισης κύκλου ζωής και να χρησιμοποιούν τεχνολογίες όπως η σουίτα VMware Carbon Black Endpoint και VMware NSX για να σκληρύνουν τους φόρτους εργασίας.

Η Mandiant δημοσίευσε επίσης μια ξεχωριστή δεύτερη ανάρτηση ιστολογίου στις 29 Σεπτεμβρίου, η οποία λεπτομερώς πώς οι οργανισμοί μπορούν να ανιχνεύσουν απειλές όπως αυτό που παρατήρησαν και πώς να σκληρύνουν τα περιβάλλοντα ESXi εναντίον τους. Ανάμεσα στις άμυνες είναι η απομόνωση δικτύου, η ισχυρή διαχείριση ταυτότητας και πρόσβασης και οι κατάλληλες πρακτικές διαχείρισης υπηρεσιών.

Ο Mike Parkin, ανώτερος τεχνικός μηχανικός της Vulcan Cyber, λέει ότι η επίθεση δείχνει μια πολύ ενδιαφέρουσα τεχνική για τους επιτιθέμενους να διατηρήσουν την επιμονή τους και να επεκτείνουν την παρουσία τους σε ένα στοχευμένο περιβάλλον. «Μοιάζει περισσότερο με κάτι που θα χρησιμοποιούσε μια απειλή που χρηματοδοτείται από το κράτος ή το κράτος, σε αντίθεση με αυτό που θα ανέπτυξε μια κοινή εγκληματική ομάδα APT», λέει.

Η Parkin λέει ότι οι τεχνολογίες VMware μπορούν να είναι πολύ στιβαρές και ανθεκτικές όταν αναπτύσσονται χρησιμοποιώντας τις προτεινόμενες διαμορφώσεις της εταιρείας και τις βέλτιστες πρακτικές του κλάδου. «Ωστόσο, τα πράγματα γίνονται πολύ πιο δύσκολα όταν ο παράγοντας της απειλής συνδέεται με διοικητικά διαπιστευτήρια. Ως επιτιθέμενος, αν μπορείς να αποκτήσεις root, έχεις τα κλειδιά του βασιλείου, ας πούμε έτσι».