VMware andis 29. septembril välja kiireloomulised uued leevendusmeetmed ja juhised oma vSphere'i virtualiseerimistehnoloogia klientidele pärast seda, kui Mandiant teatas Hiinas asuva ohuteguri tuvastamisest, kasutades uut murettekitavat tehnikat mitme püsiva tagaukse paigaldamiseks ESXi hüperviisorile.
Mandianti täheldatud tehnika hõlmab ohutegureid, mida jälgitakse kui UNC3886, kasutades pahatahtlikke vSphere Installation Bundlesid (VIB), et hiilida oma pahavara sihtsüsteemidesse. Selleks nõudsid ründajad ESXi hüperviisori administraatoritaseme õigusi. Kuid polnud tõendeid selle kohta, et nad peaksid pahavara juurutamiseks ära kasutama VMware'i toodete haavatavust, ütles Mandiant.
Lai valik pahatahtlikke võimalusi
Tagauksed, mis Mandiant on nimetanud VIRTUALPITA ja VIRTUALPIE, võimaldavad ründajatel sooritada mitmesuguseid pahatahtlikke tegevusi. See hõlmab püsiva administraatori juurdepääsu säilitamist ESXi hüperviisorile; külalis-VM-ile pahatahtlike käskude saatmine hüperviisori kaudu; failide edastamine ESXi hüperviisori ja külalismasinate vahel; metsaraieteenuste rikkumine; ja suvaliste käskude täitmine VM-i külaliste vahel samal hüperviisoril.
"Pahavara ökosüsteemi kasutades on ründajal võimalik kaugjuurdepääs hüperviisorile ja saata suvalisi käske, mis täidetakse külalise virtuaalmasinas," ütleb Mandianti turbekonsultant Alex Marvi. „Mandianti vaadeldud tagauksed, VIRTUALPITA ja VIRTUALPIE, võimaldavad ründajatel interaktiivset juurdepääsu hüperviisoritele endile. Need võimaldavad ründajatel edastada käske võõrustajalt külalisele.
Marvi sõnul jälgis Mandiant eraldi Pythoni skripti, mis täpsustas, milliseid käske käivitada ja millises külalismasinas neid käivitada.
Mandiant ütles, et ta on teadlik vähem kui kümnest organisatsioonist, kus ohus osalejad olid suutnud ESXi hüperviisoreid sel viisil kompromiteerida. Kuid oodata tuleb rohkem intsidente, hoiatas turbemüüja oma aruandes: "Kuigi me märkisime, et UNC10 kasutatav tehnika nõuab ESXi operatsioonisüsteemi ja VMware virtualiseerimisplatvormi sügavamat mõistmist, eeldame, et paljud teised ohus osalejad kasutavad seda. selles uuringus kirjeldatud teavet, et alustada sarnaste võimete väljatöötamist.
VMware kirjeldab VIB-d kui "failide kogu levitamise hõlbustamiseks pakendatud ühte arhiivi. Need on loodud selleks, et aidata administraatoritel hallata virtuaalseid süsteeme, levitada kohandatud binaarfaile ja värskendusi kogu keskkonnas ning luua ESXi süsteemi taaskäivitamisel käivitusülesandeid ja kohandatud tulemüürireegleid.
Keeruline uus taktika
VMware on määranud VIB-idele neli nn aktsepteerimise taset: VMwareCertified VIB-id, mis on VMware loodud, testitud ja allkirjastatud; VMwareAccepted VIB-id, mille on loonud ja allkirjastanud heakskiidetud VMware partnerid; Partneri toetatud VIB-id usaldusväärsetelt VMware partneritelt; ja CommunitySupported VIB-id, mille on loonud üksikisikud või partnerid väljaspool VMware partnerprogrammi. Kogukonna toetatud VIB-id ei ole VMware'i ega partnerite poolt testitud ega toetatud.
Kui ESXi pilt luuakse, määratakse sellele üks neist aktsepteerimistasemetest, ütles Mandiant. "Kõik pildile lisatud VIB-id peavad olema samal aktsepteerimistasemel või kõrgemal," ütles turbemüüja. "See aitab tagada, et toetamata VIB-id ei segaks ESXi kujutiste loomisel ja hooldamisel toetatud VIB-idega."
VMware vaikimisi minimaalne aktsepteerimistase VIB jaoks on PartnerSupported. Kuid administraatorid saavad taset käsitsi muuta ja sundida profiili VIB-i installimisel eirama minimaalse aktsepteerimistaseme nõudeid, ütles Mandiant.
Mandiant täheldatud juhtumite puhul näib, et ründajad kasutasid seda fakti enda huvides, luues esmalt CommunitySupport-taseme VIB-i ja seejärel muutes selle deskriptorifaili nii, et näib, et VIB-d on Partneri toetatud. Seejärel kasutasid nad pahatahtliku VIB-i installimiseks sihtmärk-ESXi hüperviisoritele VIB-i kasutamisega seotud niinimetatud jõulipu parameetrit. Marvi osutas Dark Readingile VMware'ile, kui küsiti, kas jõuparameetrit tuleks pidada nõrkuseks, arvestades, et see annab administraatoritele võimaluse alistada minimaalsed VIB aktsepteerimise nõuded.
Operatsioon Turvalisus Kaob?
VMware pressiesindaja eitas probleemi nõrkust. Ettevõte soovitab turvalist alglaadimist, kuna see keelab selle jõukäsu, ütleb ta. "Ründajal pidi jõukäskluse käivitamiseks olema täielik juurdepääs ESXi-le ja selle käsu keelamiseks on vaja turvalist alglaadimist teist turvakihti," ütleb ta.
Ta märgib ka, et on olemas mehhanismid, mis võimaldavad organisatsioonidel tuvastada, millal VIB-d võidi rikkuda. Blogipostituses, mille VMWare avaldas samal ajal Mandianti raportiga, tuvastas VMware rünnakud kui tõenäoliselt tööturbe nõrkuste tagajärg ohvriorganisatsioonide poolt. Ettevõte kirjeldas konkreetseid viise, kuidas organisatsioonid saavad oma keskkondi konfigureerida, et kaitsta end VIB väärkasutuse ja muude ohtude eest.
VMware soovitab organisatsioonidel rakendada tarkvaradraiverite ja muude komponentide kinnitamiseks turvalist alglaadimist, usaldusväärse platvormi mooduleid ja hosti kinnitust. "Kui turvaline alglaadimine on lubatud, blokeeritakse ühenduse toetatud aktsepteerimistaseme kasutamine, mis takistab ründajatel installimata allkirjastamata ja valesti allkirjastatud VIB-sid (isegi parameetriga –force, nagu aruandes märgitud)," ütles VMware.
Ettevõte ütles ka, et organisatsioonid peaksid töökoormuse tugevdamiseks rakendama tugevaid lappimise ja elutsükli haldamise tavasid ning kasutama selliseid tehnoloogiaid nagu VMware Carbon Black Endpoint ja VMware NSX komplekt.
Mandiant avaldas 29. septembril ka eraldi teise ajaveebipostituse, mis oli üksikasjalik kuidas organisatsioonid saavad ohte tuvastada nagu see, mida nad jälgisid, ja kuidas oma ESXi keskkondi nende vastu tugevdada. Kaitsemeetmete hulgas on võrgu isoleerimine, tugev identiteedi- ja juurdepääsuhaldus ning õiged teenuste haldamise tavad.
Vulcan Cyberi vanemtehniline insener Mike Parkin ütleb, et rünnak demonstreerib ründajate jaoks väga huvitavat tehnikat, et säilitada püsivus ja laiendada oma kohalolekut sihitud keskkonnas. "See näeb välja rohkem nagu midagi, mida kasutaks hästi rahastatud riigi või riiklikult toetatud oht, võrreldes sellega, mida kasutaks tavaline kuritegelik APT rühmitus," ütleb ta.
Parkin ütleb, et VMware tehnoloogiad võivad olla väga tugevad ja vastupidavad, kui neid kasutatakse ettevõtte soovitatud konfiguratsioonide ja valdkonna parimate tavade abil. „Asi muutub aga palju keerulisemaks, kui ohus osaleja logib sisse administraatorimandaatidega. Ründajana, kui suudad juurutada, on sul nii-öelda kuningriigi võtmed.
