VMware emitió nuevas medidas de mitigación y orientación urgentes el 29 de septiembre para los clientes de su tecnología de virtualización vSphere después de que Mandiant informara que detectó un actor de amenazas con sede en China que utilizaba una nueva técnica preocupante para instalar múltiples puertas traseras persistentes en los hipervisores ESXi.
La técnica que observó Mandiant involucra al actor de amenazas, rastreado como UNC3886, que usa paquetes de instalación de vSphere (VIB) maliciosos para infiltrar su malware en los sistemas de destino. Para hacerlo, los atacantes requerían privilegios de nivel de administrador para el hipervisor ESXi. Pero no había evidencia de que necesitaran explotar ninguna vulnerabilidad en los productos de VMware para implementar el malware, dijo Mandiant.
Amplia gama de capacidades maliciosas
Las puertas traseras, que Mandiant ha denominado VIRTUALPITA y VIRTUALPIE, permiten a los atacantes llevar a cabo una variedad de actividades maliciosas. Esto incluye mantener el acceso de administrador persistente al hipervisor ESXi; enviar comandos maliciosos a la máquina virtual invitada a través del hipervisor; transferir archivos entre el hipervisor ESXi y las máquinas invitadas; manipular los servicios de registro; y ejecutar comandos arbitrarios entre invitados de VM en el mismo hipervisor.
“Usando el ecosistema de malware, es posible que un atacante acceda de forma remota a un hipervisor y envíe comandos arbitrarios que se ejecutarán en una máquina virtual invitada”, dice Alex Marvi, consultor de seguridad de Mandiant. “Las puertas traseras que observó Mandiant, VIRTUALPITA y VIRTUALPIE, permiten a los atacantes acceder de forma interactiva a los hipervisores. Permiten a los atacantes pasar los comandos del host al invitado”.
Marvi dice que Mandiant observó un script de Python separado que especificaba qué comandos ejecutar y en qué máquina invitada ejecutarlos.
Mandiant dijo que conocía menos de 10 organizaciones en las que los actores de amenazas habían logrado comprometer los hipervisores ESXi de esta manera. Pero espere que surjan más incidentes, el proveedor de seguridad advirtió en su informe: “Si bien notamos que la técnica utilizada por UNC3886 requiere un nivel más profundo de comprensión del sistema operativo ESXi y la plataforma de virtualización de VMware, anticipamos que una variedad de otros actores de amenazas usarán la información descrita en esta investigación para comenzar a desarrollar capacidades similares”.
VMware describe un VIB como un "colección de archivos empaquetado en un solo archivo para facilitar la distribución”. Están diseñados para ayudar a los administradores a administrar sistemas virtuales, distribuir archivos binarios personalizados y actualizaciones en todo el entorno, y crear tareas de inicio y reglas de firewall personalizadas en el reinicio del sistema ESXi.
Nueva táctica complicada
VMware ha designado cuatro niveles de aceptación para los VIB: VIB certificados por VMware creados, probados y firmados por VMware; VIB aceptados por VMware creados y firmados por socios de VMware aprobados; VIB con soporte de socios de socios confiables de VMware; y VIB respaldados por la comunidad creados por individuos o socios fuera del programa de socios de VMware. Los VIB respaldados por la comunidad no están probados ni son compatibles con VMware o los socios.
Cuando se crea una imagen ESXi, se le asigna uno de estos niveles de aceptación, dijo Mandiant. “Cualquier VIB agregado a la imagen debe tener el mismo nivel de aceptación o superior”, dijo el proveedor de seguridad. “Esto ayuda a garantizar que los VIB no compatibles no se mezclen con los VIB compatibles al crear y mantener imágenes de ESXi”.
El nivel de aceptación mínimo predeterminado de VMware para un VIB es PartnerSupported. Pero los administradores pueden cambiar el nivel manualmente y obligar a un perfil a ignorar los requisitos mínimos de nivel de aceptación al instalar un VIB, dijo Mandiant.
En los incidentes que observó Mandiant, los atacantes parecen haber usado este hecho a su favor creando primero un VIB de nivel CommunitySupport y luego modificando su archivo descriptor para que pareciera que el VIB era PartnerSupported. Luego usaron el llamado parámetro de marca de fuerza asociado con el uso de VIB para instalar el VIB malicioso en los hipervisores ESXi de destino. Marvi señaló Dark Reading a VMware cuando se le preguntó si el parámetro de fuerza debería considerarse una debilidad teniendo en cuenta que brinda a los administradores una forma de anular los requisitos mínimos de aceptación de VIB.
¿Operación Fallo de Seguridad?
Una portavoz de VMware negó que el problema fuera una debilidad. La empresa recomienda el Arranque seguro porque deshabilita este comando de fuerza, dice ella. “El atacante tenía que tener acceso completo a ESXi para ejecutar el comando de fuerza, y se necesita una segunda capa de seguridad en el Arranque seguro para desactivar este comando”, dice.
También señala que hay mecanismos disponibles que permitirían a las organizaciones identificar cuándo se podría haber manipulado un VIB. En una publicación de blog que VMWare publicó al mismo tiempo que el informe de Mandiant, VMware identificó los ataques como probablemente el resultado de las debilidades de seguridad operativa por parte de las organizaciones de víctimas. La compañía describió formas específicas en que las organizaciones pueden configurar sus entornos para protegerse contra el uso indebido de VIB y otras amenazas.
VMware recomienda que las organizaciones implementen Arranque seguro, Módulos de plataforma confiable y Atestación de host para validar los controladores de software y otros componentes. “Cuando Secure Boot está habilitado, se bloqueará el uso del nivel de aceptación 'CommunitySupported', lo que evitará que los atacantes instalen VIB no firmados o firmados incorrectamente (incluso con el parámetro –force como se indica en el informe)”, dijo VMware.
La compañía también dijo que las organizaciones deberían implementar prácticas sólidas de parches y administración del ciclo de vida y usar tecnologías como su VMware Carbon Black Endpoint y la suite VMware NSX para fortalecer las cargas de trabajo.
Mandiant también publicó una segunda publicación de blog separada el 29 de septiembre que detallaba cómo las organizaciones pueden detectar amenazas como el que observaron y cómo fortalecer sus entornos ESXi contra ellos. Entre las defensas se encuentran el aislamiento de la red, la gestión sólida de identidades y accesos, y las prácticas adecuadas de gestión de servicios.
Mike Parkin, ingeniero técnico sénior de Vulcan Cyber, dice que el ataque demuestra una técnica muy interesante para que los atacantes mantengan la persistencia y amplíen su presencia en un entorno objetivo. “Se parece más a algo que usaría una amenaza estatal o patrocinada por un estado con recursos suficientes, en lugar de lo que desplegaría un grupo APT criminal común”, dice.
Parkin dice que las tecnologías de VMware pueden ser muy sólidas y resistentes cuando se implementan con las configuraciones recomendadas por la empresa y las mejores prácticas de la industria. “Sin embargo, las cosas se vuelven mucho más desafiantes cuando el actor de amenazas inicia sesión con credenciales administrativas. Como atacante, si puedes rootear, tienes las llaves del reino, por así decirlo”.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
