VMware ने 29 सितंबर को अपने vSphere वर्चुअलाइजेशन तकनीक के ग्राहकों के लिए तत्काल नए शमन उपाय और मार्गदर्शन जारी किए, जब Mandiant ने ESXi हाइपरवाइजर पर कई लगातार बैकडोर स्थापित करने के लिए एक परेशान करने वाली नई तकनीक का उपयोग करते हुए एक चीन स्थित खतरे के अभिनेता का पता लगाने की सूचना दी।
मैंडियंट ने जिस तकनीक का अवलोकन किया, उसमें खतरा कारक शामिल है - UNC3886 के रूप में ट्रैक किया गया - दुर्भावनापूर्ण vSphere स्थापना बंडलों (VIBs) का उपयोग करके लक्ष्य सिस्टम पर अपने मैलवेयर को चुपके से। ऐसा करने के लिए, हमलावरों को ESXi हाइपरविजर के लिए व्यवस्थापक-स्तर के विशेषाधिकारों की आवश्यकता होती है। लेकिन इस बात का कोई सबूत नहीं था कि मैलवेयर को तैनात करने के लिए VMware के उत्पादों में किसी भी तरह की भेद्यता का फायदा उठाने की जरूरत है, मैंडिएंट ने कहा।
दुर्भावनापूर्ण क्षमताओं की विस्तृत श्रृंखला
पिछले दरवाजे, जो मैंडिएंट ने वर्चुअलपिटा और वर्चुअलपी को डब किया है, हमलावरों को कई प्रकार की दुर्भावनापूर्ण गतिविधियों को अंजाम देने में सक्षम बनाता है। इसमें ESXi हाइपरविजर के लिए लगातार एडमिन एक्सेस बनाए रखना शामिल है; हाइपरविजर के माध्यम से अतिथि VM को दुर्भावनापूर्ण आदेश भेजना; ESXi हाइपरविजर और अतिथि मशीनों के बीच फ़ाइलें स्थानांतरित करना; लॉगिंग सेवाओं के साथ छेड़छाड़; और एक ही हाइपरविजर पर वीएम मेहमानों के बीच मनमाना आदेश निष्पादित करना।
मैंडियंट के एक सुरक्षा सलाहकार एलेक्स मारवी कहते हैं, "मैलवेयर पारिस्थितिकी तंत्र का उपयोग करके, एक हमलावर के लिए हाइपरविजर को दूरस्थ रूप से एक्सेस करना और अतिथि वर्चुअल मशीन पर निष्पादित किए जाने वाले मनमाना आदेश भेजना संभव है।" "बैकडोर मैंडिएंट ने देखा, वर्चुअलपिटा और वर्चुअलपीई, हमलावरों को स्वयं हाइपरविजर तक इंटरैक्टिव पहुंच की अनुमति देते हैं। वे हमलावरों को मेजबान से अतिथि को आदेश पारित करने की अनुमति देते हैं।"
मारवी का कहना है कि मैंडिएंट ने एक अलग पायथन लिपि का अवलोकन किया, जिसमें यह निर्दिष्ट किया गया था कि कौन सी कमांड को चलाना है और किस अतिथि मशीन को चलाना है।
मैंडियंट ने कहा कि यह 10 से कम संगठनों के बारे में जानता था जहां खतरे वाले अभिनेताओं ने इस तरह से ESXi हाइपरवाइजर से समझौता करने में कामयाबी हासिल की थी। सुरक्षा विक्रेता ने अपनी रिपोर्ट में चेतावनी देते हुए कहा कि और घटनाओं के सामने आने की उम्मीद है: “जबकि हमने नोट किया कि UNC3886 द्वारा उपयोग की जाने वाली तकनीक को ESXi ऑपरेटिंग सिस्टम और VMware के वर्चुअलाइजेशन प्लेटफॉर्म की गहरी समझ की आवश्यकता है, हम कई अन्य खतरे वाले अभिनेताओं का उपयोग करने की आशा करते हैं। समान क्षमताओं का निर्माण शुरू करने के लिए इस शोध में उल्लिखित जानकारी।
VMware एक VIB को "के रूप में वर्णित करता है"फाइलों का संग्रह वितरण की सुविधा के लिए एकल संग्रह में पैक किया गया। वे प्रशासकों को वर्चुअल सिस्टम प्रबंधित करने, कस्टम बायनेरिज़ वितरित करने और पूरे वातावरण में अपडेट करने और ESXi सिस्टम पुनरारंभ पर स्टार्टअप कार्य और कस्टम फ़ायरवॉल नियम बनाने में मदद करने के लिए डिज़ाइन किए गए हैं।
पेचीदा नई रणनीति
VMware ने VIBs के लिए चार तथाकथित स्वीकृति स्तरों को निर्दिष्ट किया है: VMwareCertified VIBs जो VMware निर्मित, परीक्षण और हस्ताक्षरित हैं; VMware स्वीकृत VIBs जो स्वीकृत VMware भागीदारों द्वारा निर्मित और हस्ताक्षरित हैं; विश्वसनीय VMware भागीदारों से भागीदार समर्थित VIBs; और VMware भागीदार प्रोग्राम के बाहर व्यक्तियों या भागीदारों द्वारा बनाए गए समुदाय समर्थित VIBs। समुदाय समर्थित VIBs VMware- या भागीदार-परीक्षण या समर्थित नहीं हैं।
जब एक ESXi छवि बनाई जाती है, तो उसे इन स्वीकृति स्तरों में से एक सौंपा जाता है, मैंडियंट ने कहा। सुरक्षा विक्रेता ने कहा, "छवि में जोड़ा गया कोई भी VIB समान स्वीकृति स्तर या उच्चतर होना चाहिए।" "इससे यह सुनिश्चित करने में मदद मिलती है कि ESXi चित्र बनाते और बनाए रखते समय गैर-समर्थित VIB समर्थित VIB के साथ मिश्रित नहीं होते हैं।"
वीआईबी के लिए वीएमवेयर का डिफ़ॉल्ट न्यूनतम स्वीकृति स्तर पार्टनर समर्थित है। लेकिन प्रशासक स्तर को मैन्युअल रूप से बदल सकते हैं और वीआईबी स्थापित करते समय प्रोफ़ाइल को न्यूनतम स्वीकृति स्तर की आवश्यकताओं को अनदेखा करने के लिए मजबूर कर सकते हैं, मैंडियंट ने कहा।
मैंडिएंट ने जिन घटनाओं का अवलोकन किया, उनमें हमलावरों ने इस तथ्य का उपयोग पहले कम्युनिटी सपोर्ट-लेवल VIB बनाकर और फिर इसकी डिस्क्रिप्टर फ़ाइल को संशोधित करके यह प्रकट करने के लिए किया कि VIB पार्टनर समर्थित था। इसके बाद उन्होंने लक्ष्य ESXi हाइपरविजर पर दुर्भावनापूर्ण VIB स्थापित करने के लिए VIB उपयोग से जुड़े एक तथाकथित बल ध्वज पैरामीटर का उपयोग किया। मार्वी ने डार्क रीडिंग को VMware की ओर इशारा किया जब पूछा गया कि क्या बल पैरामीटर को एक कमजोरी माना जाना चाहिए, यह देखते हुए कि यह प्रशासकों को न्यूनतम VIB स्वीकृति आवश्यकताओं को ओवरराइड करने का एक तरीका देता है।
ऑपरेशन सुरक्षा चूक?
VMware की एक प्रवक्ता ने इस बात से इनकार किया कि यह एक कमज़ोरी थी। वह कहती हैं कि कंपनी सिक्योर बूट की सिफारिश करती है क्योंकि यह इस फोर्स कमांड को निष्क्रिय कर देती है। "हमलावर को बल आदेश चलाने के लिए ESXi तक पूर्ण पहुंच प्राप्त करनी थी, और इस आदेश को अक्षम करने के लिए सुरक्षित बूट में सुरक्षा की दूसरी परत आवश्यक है," वह कहती हैं।
वह यह भी नोट करती है कि ऐसे तंत्र उपलब्ध हैं जो संगठनों को यह पहचानने की अनुमति देंगे कि कब वीआईबी के साथ छेड़छाड़ की गई हो। एक ब्लॉग पोस्ट में जिसे VMWare ने मैंडियंट की रिपोर्ट के साथ ही प्रकाशित किया था, VMware ने हमलों की पहचान की संभावित रूप से परिचालन सुरक्षा कमजोरियों का परिणाम है पीड़ित संगठनों की ओर से कंपनी ने विशिष्ट तरीकों की रूपरेखा दी है कि संगठन VIB के दुरुपयोग और अन्य खतरों से बचाने के लिए अपने वातावरण को कॉन्फ़िगर कर सकते हैं।
VMware अनुशंसा करता है कि संगठन सॉफ़्टवेयर ड्राइवरों और अन्य घटकों को मान्य करने के लिए सुरक्षित बूट, विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल और होस्ट सत्यापन लागू करें। "जब सुरक्षित बूट सक्षम किया जाता है तो 'समुदाय समर्थित' स्वीकृति स्तर का उपयोग अवरुद्ध हो जाएगा, हमलावरों को अहस्ताक्षरित और अनुचित तरीके से हस्ताक्षरित VIBs स्थापित करने से रोका जा सकेगा (यहां तक कि -फोर्स पैरामीटर के साथ जैसा कि रिपोर्ट में उल्लेख किया गया है)," VMware ने कहा।
कंपनी ने यह भी कहा कि संगठनों को मजबूत पैचिंग और जीवन-चक्र प्रबंधन प्रथाओं को लागू करना चाहिए और वर्कलोड को सख्त करने के लिए इसके वीएमवेयर कार्बन ब्लैक एंडपॉइंट और वीएमवेयर एनएसएक्स सूट जैसी तकनीकों का उपयोग करना चाहिए।
मैंडियंट ने 29 सितंबर को एक अलग दूसरा ब्लॉग पोस्ट भी प्रकाशित किया, जिसमें विस्तार से बताया गया है संगठन कैसे खतरों का पता लगा सकते हैं जैसे उन्होंने देखा और उनके खिलाफ अपने ESXi वातावरण को कैसे सख्त किया जाए। बचाव के बीच नेटवर्क अलगाव, मजबूत पहचान और पहुंच प्रबंधन, और उचित सेवा प्रबंधन प्रथाएं हैं।
वल्कन साइबर के वरिष्ठ तकनीकी इंजीनियर माइक पार्किन का कहना है कि हमला हमलावरों के लिए दृढ़ता बनाए रखने और लक्षित वातावरण में अपनी उपस्थिति का विस्तार करने के लिए एक बहुत ही रोचक तकनीक का प्रदर्शन करता है। "ऐसा लगता है कि एक अच्छी तरह से पुनर्जीवित राज्य- या राज्य-प्रायोजित खतरे का उपयोग करेगा, बनाम एक आम आपराधिक एपीटी समूह क्या तैनात करेगा," वे कहते हैं।
पार्किन का कहना है कि कंपनी के अनुशंसित कॉन्फ़िगरेशन और उद्योग की सर्वोत्तम प्रथाओं का उपयोग करते समय वीएमवेयर प्रौद्योगिकियां बहुत मजबूत और लचीली हो सकती हैं। "हालांकि, चीजें तब और अधिक चुनौतीपूर्ण हो जाती हैं जब धमकी देने वाला अभिनेता प्रशासनिक साख के साथ प्रवेश कर रहा होता है। एक हमलावर के रूप में, यदि आप जड़ पकड़ सकते हैं तो आपके पास राज्य की कुंजी है, ऐसा कहा जा सकता है।
