Vaarallinen uusi hyökkäystekniikka, joka vaarantaa VMware ESXi -hypervisorit

VMware julkaisi 29. syyskuuta uusia kiireellisiä lieventäviä toimenpiteitä ja ohjeita vSphere-virtualisointiteknologiansa asiakkaille sen jälkeen, kun Mandiant ilmoitti havainneensa Kiinassa toimivan uhkatekijän käyttämällä huolestuttavaa uutta tekniikkaa useiden pysyvien takaovien asentamiseen ESXi-hypervisoreihin.

Mandiantin havaitsemassa tekniikassa UNC3886:lla jäljitetty uhkatekijä käyttää haitallisia vSphere Installation Bundle (VIB) -asennuspaketteja (VIB) livahtaakseen haittaohjelmansa kohdejärjestelmiin. Tätä varten hyökkääjät vaativat ESXi-hypervisorin järjestelmänvalvojan tason oikeuksia. Mutta ei ollut todisteita siitä, että heidän olisi tarvinnut hyödyntää VMwaren tuotteiden haavoittuvuutta haittaohjelmien käyttöönottamiseksi, Mandiant sanoi.

Laaja valikoima haitallisia ominaisuuksia

Takaovet, jotka Mandiant on saanut nimet VIRTUALPITA ja VIRTUALPIEavulla hyökkääjät voivat suorittaa erilaisia ​​haitallisia toimintoja. Tämä sisältää jatkuvan järjestelmänvalvojan käyttöoikeuden ylläpitämisen ESXi-hypervisorille; haitallisten komentojen lähettäminen vieras-VM:lle hypervisorin kautta; tiedostojen siirtäminen ESXi-hypervisorin ja vieraskoneiden välillä; puunkorjuupalvelujen peukalointi; ja mielivaltaisten komentojen suorittaminen VM-vieraiden välillä samassa hypervisorissa.

"Haittaohjelmaekosysteemiä käyttämällä hyökkääjä voi etäkäyttää hypervisoriin ja lähettää mielivaltaisia ​​komentoja, jotka suoritetaan vierasvirtuaalikoneella", sanoo Alex Marvi, Mandiantin tietoturvakonsultti. "Mandiantin havaitsemat takaovet VIRTUALPITA ja VIRTUALPIE antavat hyökkääjille interaktiivisen pääsyn itse hypervisoreihin. Niiden avulla hyökkääjät voivat välittää komentoja isännältä vieraalle." 

Marvi kertoo, että Mandiant havaitsi erillisen Python-skriptin, joka määritti mitkä komennot suoritettiin ja millä vieraskoneella ne suoritettiin.

Mandiant kertoi tietävänsä alle 10 organisaatiosta, joissa uhkatoimijat olivat onnistuneet vaarantamaan ESXi-hypervisorit tällä tavalla. Tietoturvatoimittaja varoitti kuitenkin raportissaan lisää tapauksia: "Vaikka totesimme, että UNC3886:n käyttämä tekniikka vaatii ESXi-käyttöjärjestelmän ja VMwaren virtualisointialustan syvempää ymmärtämistä, odotamme useiden muiden uhkien käyttävän. tässä tutkimuksessa hahmoteltuja tietoja, jotta voidaan alkaa rakentaa samanlaisia ​​ominaisuuksia."

VMware kuvaa VIB:tä "tiedostojen kokoelma pakattu yhteen arkistoon jakelun helpottamiseksi." Ne on suunniteltu auttamaan järjestelmänvalvojia hallitsemaan virtuaalisia järjestelmiä, jakamaan mukautettuja binaareja ja päivityksiä ympäri ympäristöä sekä luomaan käynnistystehtäviä ja mukautettuja palomuurisääntöjä ESXi-järjestelmän uudelleenkäynnistyksen yhteydessä.

Uusi hankala taktiikka

VMware on määrittänyt neljä ns. hyväksymistasoa VIB:ille: VMwareCertified VIB:t, jotka ovat VMwaren luomia, testattuja ja allekirjoittamia; VMwareAccepted VIB:t, jotka ovat hyväksyttyjen VMware-kumppanien luomia ja allekirjoittamia; Kumppanin tukemat VIB:t luotetuilta VMware-kumppaneilta; ja CommunitySupported VIB:t, jotka ovat luoneet VMware-kumppaniohjelman ulkopuoliset henkilöt tai kumppanit. CommunitySupported VIB:t eivät ole VMwaren tai kumppanien testaamia tai tuettuja.

Kun ESXi-kuva luodaan, sille määritetään yksi näistä hyväksymistasoista, Mandiant sanoi. "Kaikkien kuvaan lisättyjen VIB-elementtien on oltava samalla tai korkeammalla hyväksyntätasolla", tietoturvatoimittaja sanoi. "Tämä auttaa varmistamaan, että ei-tuetut VIB:t eivät sekoitu tuettujen VIB:ien kanssa ESXi-kuvia luotaessa ja ylläpidettäessä." 

VMwaren oletusarvoinen vähimmäishyväksyntätaso VIB:lle on PartnerSupported. Mutta järjestelmänvalvojat voivat muuttaa tasoa manuaalisesti ja pakottaa profiilin jättämään huomiotta vähimmäishyväksyntätason vaatimukset VIB:tä asentaessaan, Mandiant sanoi.

Mandiantin havaitsemissa tapauksissa hyökkääjät näyttävät käyttäneen tätä tosiasiaa hyväkseen luomalla ensin CommunitySupport-tason VIB:n ja sitten muuttaneet sen kuvaustiedostoa näyttämään siltä, ​​että VIB oli PartnerSupported. Sitten he käyttivät VIB-käyttöön liittyvää ns. force flag -parametria haitallisen VIB:n asentamiseen kohteena oleviin ESXi-hypervisoreihin. Marvi osoitti Dark Readingin VMwarelle, kun kysyttiin, pitäisikö voimaparametria pitää heikkoutena, koska se antaa järjestelmänvalvojille mahdollisuuden ohittaa VIB-hyväksynnän vähimmäisvaatimukset.

Käyttöturvallisuus lakkaa?

VMwaren tiedottaja kiisti ongelman olevan heikkous. Yritys suosittelee Secure Bootia, koska se poistaa tämän voimakomennon käytöstä, hän sanoo. "Hyökkääjällä oli oltava täysi pääsy ESXiin voidakseen suorittaa voimakomennon, ja toinen suojakerros Secure Bootissa tarvitaan tämän komennon poistamiseksi käytöstä", hän sanoo. 

Hän huomauttaa myös, että käytettävissä on mekanismeja, joiden avulla organisaatiot voivat tunnistaa, milloin VIB:tä on saatettu peukaloida. Blogissa, jonka VMWare julkaisi samaan aikaan Mandiantin raportin kanssa, VMware tunnisti hyökkäykset todennäköisesti seurausta operatiivisista turvallisuuspuutteista uhrijärjestöjen puolelta. Yritys hahmotteli erityisiä tapoja, joilla organisaatiot voivat määrittää ympäristönsä suojaamaan VIB:n väärinkäytöltä ja muilta uhilta.

VMware suosittelee, että organisaatiot ottavat käyttöön Secure Bootin, Trusted Platform Module -moduulit ja Host Atestation -ohjelmiston ohjainten ja muiden komponenttien vahvistamisen. "Kun Secure Boot on käytössä, "CommunitySupported"-hyväksyntätason käyttö estetään, mikä estää hyökkääjiä asentamasta allekirjoittamattomia ja väärin allekirjoitettuja VIB-tiedostoja (jopa -force-parametrilla, kuten raportissa mainitaan), VMware sanoi.

Yhtiö sanoi myös, että organisaatioiden tulisi ottaa käyttöön vankat korjaus- ja elinkaarihallintakäytännöt ja käyttää teknologioita, kuten VMware Carbon Black Endpoint ja VMware NSX -paketti, kovettamaan työtaakkaa.

Mandiant julkaisi myös erillisen toisen blogikirjoituksen syyskuun 29. päivänä, jossa kerrottiin miten organisaatiot voivat havaita uhkia kuten se, jota he havaitsivat, ja kuinka kovettaa ESXi-ympäristönsä niitä vastaan. Puolustuksen joukossa ovat verkon eristäminen, vahva identiteetin ja pääsyn hallinta sekä asianmukaiset palveluiden hallintakäytännöt.

Vulcan Cyberin vanhempi tekninen insinööri Mike Parkin sanoo, että hyökkäys osoittaa hyökkääjien erittäin mielenkiintoisen tekniikan säilyttää sinnikkyys ja laajentaa läsnäoloaan kohdistetussa ympäristössä. "Se näyttää enemmän sellaiselta, jota hyvin resursoitu valtion tai valtion tukema uhka käyttäisi, verrattuna siihen, mitä tavallinen rikollinen APT-ryhmä käyttäisi", hän sanoo.

Parkin sanoo, että VMware-teknologiat voivat olla erittäin kestäviä ja joustavia, kun ne otetaan käyttöön käyttämällä yrityksen suosittelemia kokoonpanoja ja alan parhaita käytäntöjä. ”Asioista tulee kuitenkin paljon haastavampia, kun uhkatekijä kirjautuu sisään järjestelmänvalvojan tunnuksilla. Hyökkääjänä, jos pääset juureen, sinulla on niin sanotusti avaimet valtakuntaan."