تکنیک جدید حمله خطرناک VMware ESXi Hypervisors

VMware اقدامات کاهشی و راهنمایی های فوری جدیدی را در 29 سپتامبر برای مشتریان فناوری مجازی سازی vSphere خود صادر کرد، پس از اینکه Mandiant گزارش داد که یک عامل تهدید مبتنی بر چین را با استفاده از یک تکنیک جدید دردسرساز برای نصب چندین درب پشتی مداوم بر روی هایپروایزر ESXi شناسایی کرده است.

تکنیکی که Mandiant مشاهده کرد شامل عامل تهدید - که با نام UNC3886 ردیابی می‌شود - از بسته‌های نصب مخرب vSphere (VIBs) برای نفوذ بدافزار خود به سیستم‌های هدف استفاده می‌کند. برای انجام این کار، مهاجمان به امتیازات سطح مدیریت برای هایپروایزر ESXi نیاز داشتند. Mandiant گفت، اما هیچ مدرکی مبنی بر اینکه آنها نیاز به سوء استفاده از هر گونه آسیب پذیری در محصولات VMware برای استقرار بدافزار داشته باشند، وجود نداشت.

طیف گسترده ای از قابلیت های مخرب

درهای پشتی، که Mandiant VIRTUALPITA و VIRTUALPIE را دوبله کرده است، مهاجمان را قادر می سازد تا طیف وسیعی از فعالیت های مخرب را انجام دهند. این شامل حفظ دسترسی دائمی مدیر به هایپروایزر ESXi است. ارسال دستورات مخرب به VM مهمان از طریق Hypervisor. انتقال فایل ها بین هایپروایزر ESXi و ماشین های مهمان. دستکاری در خدمات ورود به سیستم؛ و اجرای دستورات دلخواه بین مهمانان VM در همان Hypervisor.

الکس ماروی، مشاور امنیتی در Mandiant می‌گوید: «با استفاده از اکوسیستم بدافزار، این امکان برای مهاجم وجود دارد که از راه دور به یک هایپروایزر دسترسی داشته باشد و دستورات دلخواه را ارسال کند که بر روی یک ماشین مجازی مهمان اجرا می‌شوند. درهای پشتی مشاهده شده توسط Mandiant، VIRTUALPITA و VIRTUALPIE، به مهاجمان امکان دسترسی تعاملی به خود هایپروایزرها را می دهد. آنها به مهاجمان اجازه می دهند تا دستورات را از میزبان به مهمان منتقل کنند." 

Marvi می‌گوید Mandiant یک اسکریپت پایتون جداگانه را مشاهده کرده است که مشخص می‌کند کدام دستورات اجرا شوند و روی کدام ماشین مهمان اجرا شوند.

Mandiant گفت که از کمتر از 10 سازمان آگاه است که بازیگران تهدید موفق شده اند ابروایزرهای ESXi را به این شیوه به خطر بیندازند. اما انتظار داشته باشید که حوادث بیشتری ظاهر شود، فروشنده امنیتی در گزارش خود هشدار داد: «در حالی که ما یادآور شدیم که تکنیک مورد استفاده توسط UNC3886 نیاز به درک عمیق‌تری از سیستم عامل ESXi و پلتفرم مجازی‌سازی VMware دارد، ما پیش‌بینی می‌کنیم که سایر عوامل تهدید از آن استفاده کنند. اطلاعات مشخص شده در این تحقیق برای شروع ساختن قابلیت های مشابه."

VMware یک VIB را به عنوان یک "مجموعه ای از فایل ها برای تسهیل توزیع در یک آرشیو بسته بندی شده است. آنها برای کمک به مدیران در مدیریت سیستم های مجازی، توزیع باینری ها و به روز رسانی های سفارشی در سراسر محیط، و ایجاد وظایف راه اندازی و قوانین فایروال سفارشی در راه اندازی مجدد سیستم ESXi طراحی شده اند.

تاکتیک جدید حیله گر

VMware چهار سطح به اصطلاح پذیرش را برای VIB ها تعیین کرده است: VMwareCertified VIBs که VMware ایجاد، تست شده و امضا شده اند. VMwareAccepted VIBهایی که توسط شرکای تایید شده VMware ایجاد و امضا شده اند. VIB های پشتیبانی شده از شرکای قابل اعتماد VMware. و VIB های CommunitySupported ایجاد شده توسط افراد یا شرکای خارج از برنامه شریک VMware. VIB های پشتیبانی شده توسط CommunitySupported توسط VMware یا شریک آزمایش یا پشتیبانی نمی شوند.

Mandiant گفت: هنگامی که یک تصویر ESXi ایجاد می شود، یکی از این سطوح پذیرش به آن اختصاص می یابد. فروشنده امنیتی گفت: "هر VIB اضافه شده به تصویر باید در همان سطح پذیرش یا بالاتر باشد." "این کمک می کند تا اطمینان حاصل شود که VIB های پشتیبانی نشده هنگام ایجاد و نگهداری تصاویر ESXi با VIB های پشتیبانی شده مخلوط نمی شوند." 

حداقل سطح پذیرش پیش فرض VMware برای VIB PartnerSupported است. Mandiant گفت، اما مدیران می توانند سطح را به صورت دستی تغییر دهند و یک نمایه را مجبور کنند که حداقل الزامات سطح پذیرش را هنگام نصب VIB نادیده بگیرد.

در حوادثی که Mandiant مشاهده کرد، به نظر می‌رسد مهاجمان از این واقعیت به نفع خود استفاده کرده‌اند و ابتدا یک VIB در سطح CommunitySupport ایجاد کرده‌اند و سپس فایل توصیف‌گر آن را تغییر داده‌اند تا به نظر برسد که VIB از PartnerSupported است. سپس آنها از یک پارامتر به اصطلاح force flag مرتبط با استفاده از VIB برای نصب VIB مخرب بر روی هایپروایزرهای ESXi استفاده کردند. Marvi وقتی از وی پرسیده شد که آیا پارامتر نیرو باید به عنوان یک نقطه ضعف در نظر گرفته شود، از Dark Reading به VMware اشاره کرد، با توجه به اینکه به مدیران راهی برای نادیده گرفتن حداقل الزامات پذیرش VIB می دهد.

نقص امنیتی عملیات؟

یکی از سخنگویان VMware این موضوع را یک ضعف رد کرد. او می‌گوید، این شرکت Secure Boot را توصیه می‌کند زیرا این فرمان نیرو را غیرفعال می‌کند. او می‌گوید: «مهاجم برای اجرای فرمان نیرو مجبور بود به ESXi دسترسی کامل داشته باشد و لایه دوم امنیتی در Secure Boot برای غیرفعال کردن این فرمان ضروری است. 

او همچنین خاطرنشان می‌کند که مکانیسم‌هایی در دسترس هستند که به سازمان‌ها اجازه می‌دهد تشخیص دهند که چه زمانی ممکن است یک VIB دستکاری شده باشد. در یک پست وبلاگی که VMWare همزمان با گزارش Mandiant منتشر کرد، VMware این حملات را به عنوان احتمالاً نتیجه ضعف های امنیتی عملیاتی است از طرف سازمان های قربانی. این شرکت روش‌های خاصی را بیان کرد که سازمان‌ها می‌توانند محیط‌های خود را برای محافظت در برابر سوء استفاده از VIB و سایر تهدیدات پیکربندی کنند.

VMware توصیه می‌کند که سازمان‌ها برای تأیید اعتبار درایورهای نرم‌افزار و سایر مؤلفه‌ها، راه‌اندازی امن، ماژول‌های پلتفرم مورد اعتماد و تأیید میزبان را پیاده‌سازی کنند. VMware گفت: «وقتی Secure Boot فعال باشد، استفاده از سطح پذیرش «CommunitySupported» مسدود می‌شود و مهاجمان را از نصب VIB‌های بدون امضا و امضا نادرست (حتی با پارامتر –force همانطور که در گزارش ذکر شده است) جلوگیری می‌کند.

این شرکت همچنین گفت که سازمان‌ها باید شیوه‌های مدیریت وصله‌سازی قوی و مدیریت چرخه عمر را اجرا کنند و از فناوری‌هایی مانند VMware Carbon Black Endpoint و مجموعه VMware NSX برای سخت‌تر کردن حجم کاری استفاده کنند.

Mandiant همچنین دومین پست وبلاگ جداگانه را در 29 سپتامبر منتشر کرد که جزئیات آن را شرح داد چگونه سازمان ها می توانند تهدیدات را شناسایی کنند مانند چیزی که مشاهده کردند و چگونه محیط ESXi خود را در برابر آنها سخت کنند. از جمله دفاع‌ها می‌توان به انزوای شبکه، مدیریت دسترسی و هویت قوی، و شیوه‌های مدیریت خدمات مناسب اشاره کرد.

مایک پارکین، مهندس فنی ارشد Vulcan Cyber، می‌گوید این حمله تکنیک بسیار جالبی را برای مهاجمان به نمایش می‌گذارد تا پایداری خود را حفظ کنند و حضور خود را در یک محیط هدفمند گسترش دهند. او می‌گوید: «به نظر می‌رسد که بیشتر شبیه چیزی است که یک تهدید دولتی یا دولتی با منابع خوب از آن استفاده می‌کند، در مقابل آنچه که یک گروه APT جنایتکار مشترک مستقر می‌کند».

پارکین می‌گوید وقتی فناوری‌های VMware با استفاده از پیکربندی‌های توصیه‌شده شرکت و بهترین شیوه‌های صنعت به کار گرفته شوند، می‌توانند بسیار قوی و انعطاف‌پذیر باشند. با این حال، وقتی عامل تهدید با اعتبار اداری وارد سیستم می شود، همه چیز بسیار چالش برانگیزتر می شود. به عنوان یک مهاجم، اگر بتوانید روت کنید، به اصطلاح، کلیدهای پادشاهی را در اختیار دارید."