A VMware szeptember 29-én sürgős új mérséklő intézkedéseket és útmutatást adott ki a vSphere virtualizációs technológiájának ügyfelei számára, miután a Mandiant bejelentette, hogy egy kínai székhelyű fenyegetés szereplőt észlelt egy aggasztó új technikával, amellyel több állandó hátsó ajtót telepített az ESXi hipervizorokra.
A Mandiant által megfigyelt technika magában foglalja a fenyegetés szereplőit – UNC3886-ként nyomon követve – rosszindulatú vSphere Installation Bundle (VIB) segítségével, hogy rosszindulatú programjait a célrendszerekre lopják. Ehhez a támadók adminisztrátori szintű jogosultságokat kértek az ESXi hypervisorhoz. De nem volt bizonyíték arra, hogy a VMware termékeinek sebezhetőségét ki kellett volna használniuk a kártevő telepítéséhez, mondta Mandiant.
Rosszindulatú képességek széles skálája
A hátsó ajtók, amelyek A Mandiant a VIRTUALPITA és a VIRTUALPIE nevet kapta, lehetővé teszi a támadók számára, hogy rosszindulatú tevékenységeket hajtsanak végre. Ez magában foglalja az ESXi hipervizorhoz való állandó adminisztrátori hozzáférés fenntartását; rosszindulatú parancsok küldése a vendég virtuális gépnek a hypervisoron keresztül; fájlok átvitele az ESXi hypervisor és a vendéggépek között; fakitermelési szolgáltatások manipulálása; és tetszőleges parancsok végrehajtása a VM-vendégek között ugyanazon a hipervizoron.
"A rosszindulatú szoftverek ökoszisztémája segítségével a támadók távolról hozzáférhetnek egy hipervizorhoz, és tetszőleges parancsokat küldhetnek, amelyeket a vendég virtuális gépen hajtanak végre" - mondja Alex Marvi, a Mandiant biztonsági tanácsadója. „A Mandiant megfigyelt hátsó ajtói, a VIRTUALPITA és a VIRTUALPIE, lehetővé teszik a támadók számára, hogy interaktív hozzáférést kapjanak magukhoz a hipervizorokhoz. Lehetővé teszik a támadók számára, hogy átadják a parancsokat a házigazdáról a vendégnek.”
Marvi szerint a Mandiant egy külön Python-szkriptet figyelt meg, amely meghatározza, hogy mely parancsokat és melyik vendéggépen futtassa.
A Mandiant azt mondta, hogy kevesebb mint 10 szervezetről tud, ahol a fenyegetés szereplőinek sikerült ilyen módon kompromittálniuk az ESXi hipervizorokat. A biztonsági gyártó jelentésében azonban további incidensek megjelenésére számíthatunk: „Bár megjegyeztük, hogy az UNC3886 által használt technika megköveteli az ESXi operációs rendszer és a VMware virtualizációs platformjának mélyebb megértését, arra számítunk, hogy számos más fenyegetést is használnak majd. az ebben a kutatásban körvonalazott információkkal, hogy elkezdjük a hasonló képességek kiépítését.”
A VMware a VIB-t a következőképpen írja lefájlok gyűjteménye egyetlen archívumba csomagolva a terjesztés megkönnyítése érdekében.” Arra tervezték őket, hogy segítsenek a rendszergazdáknak virtuális rendszereket kezelni, egyéni bináris fájlokat és frissítéseket elosztani a környezetben, valamint indítási feladatokat és egyéni tűzfalszabályokat létrehozni az ESXi rendszer újraindításához.
Trükkös új taktika
A VMware négy úgynevezett elfogadási szintet jelölt ki a VIB-k számára: VMwareCertified VIB-ket, amelyeket VMware hozott létre, tesztelt és aláírt; VMwareAccepted VIB-k, amelyeket jóváhagyott VMware-partnerek hoztak létre és írtak alá; Partner által támogatott VIB-k megbízható VMware-partnerektől; és a VMware partnerprogramon kívüli egyének vagy partnerek által létrehozott CommunitySupported VIB-k. A CommunitySupported VIB-k nem VMware vagy partner által teszteltek és nem támogatottak.
Az ESXi-kép létrehozásakor a rendszer hozzárendeli az egyik elfogadási szintet, mondta Mandiant. "A képhez hozzáadott VIB-nek ugyanolyan vagy magasabb elfogadási szinten kell lennie" - mondta a biztonsági szolgáltató. "Ez segít biztosítani, hogy a nem támogatott VIB-k ne keveredjenek támogatott VIB-kkel az ESXi-képek létrehozásakor és karbantartásakor."
A VMware alapértelmezett minimális elfogadási szintje a VIB-hez a PartnerSupported. De a rendszergazdák manuálisan módosíthatják a szintet, és rákényszeríthetik a profilt, hogy figyelmen kívül hagyja a minimális elfogadási szint követelményeit a VIB telepítésekor, mondta Mandiant.
A Mandiant által megfigyelt incidensekben úgy tűnik, hogy a támadók ezt a tényt a maguk javára használták fel azzal, hogy először létrehoztak egy CommunitySupport szintű VIB-t, majd módosították annak leíró fájlját, hogy úgy tűnjön, a VIB PartnerSupported. Ezután egy, a VIB használatához kapcsolódó, úgynevezett force flag paramétert használtak a rosszindulatú VIB telepítéséhez a cél ESXi hipervizorokra. Marvi rámutatott a Dark Readingre a VMware-re, amikor arról kérdezték, hogy az erő paramétert gyengeségnek kell-e tekinteni, mivel ez lehetőséget ad az adminisztrátoroknak a minimális VIB elfogadási követelmények felülbírálására.
A biztonsági művelet megszűnése?
A VMware szóvivője tagadta, hogy a probléma gyengeség lenne. A cég a Secure Bootot ajánlja, mert az letiltja ezt az erő parancsot, mondja. „A támadónak teljes hozzáféréssel kellett rendelkeznie az ESXi-hez az erő parancs futtatásához, és a Secure Boot második biztonsági rétegére van szükség a parancs letiltásához” – mondja.
Azt is megjegyzi, hogy rendelkezésre állnak olyan mechanizmusok, amelyek lehetővé teszik a szervezetek számára, hogy azonosítsák, mikor manipulálták a VIB-t. Egy blogbejegyzésben, amelyet a VMWare a Mandiant jelentésével egy időben tett közzé, a VMware úgy azonosította a támadásokat, mint valószínűleg az üzembiztonsági hiányosságok eredménye az áldozatszervezetek részéről. A vállalat felvázolta azokat a konkrét módszereket, amelyekkel a szervezetek konfigurálhatják környezetüket a VIB-vel való visszaélés és más fenyegetések elleni védelem érdekében.
A VMware azt javasolja a szervezeteknek, hogy alkalmazzák a Secure Boot, a Trusted Platform Modules és a Host Attestation eszközöket a szoftver-illesztőprogramok és egyéb összetevők érvényesítéséhez. „Amikor a Secure Boot engedélyezve van, a „CommunitySupported” elfogadási szint használata blokkolva lesz, ami megakadályozza, hogy a támadók aláíratlan és nem megfelelően aláírt VIB-ket telepítsenek (még a jelentésben szereplő –force paraméterrel is)” – mondta a VMware.
A vállalat azt is közölte, hogy a szervezeteknek robusztus javítási és életciklus-kezelési gyakorlatokat kell bevezetniük, és olyan technológiákat kell használniuk, mint a VMware Carbon Black Endpoint és a VMware NSX csomag a munkaterhelések növelésére.
A Mandiant szeptember 29-én közzétett egy különálló blogbejegyzést is, amely részletesen bemutatta hogyan észlelhetik a szervezetek a fenyegetéseket mint amit megfigyeltek, és hogyan erősítsék meg velük szemben az ESXi környezetüket. A védelmek között szerepel a hálózati elszigeteltség, az erős identitás- és hozzáférés-kezelés, valamint a megfelelő szolgáltatáskezelési gyakorlat.
Mike Parkin, a Vulcan Cyber vezető műszaki mérnöke szerint a támadás egy nagyon érdekes technikát mutat be a támadók kitartásának megőrzésére és jelenlétük kiterjesztésére egy célzott környezetben. „Inkább úgy néz ki, mint amit egy jól finanszírozott állami vagy államilag támogatott fenyegetés használna, szemben azzal, amit egy közös bűnözői APT csoport vetne be” – mondja.
Parkin szerint a VMware-technológiák nagyon robusztusak és ellenállóak lehetnek, ha a vállalat által javasolt konfigurációk és az iparág legjobb gyakorlatai alapján telepítik őket. „A dolgok azonban sokkal nagyobb kihívást jelentenek, amikor a fenyegetettség szereplője adminisztrátori hitelesítő adatokkal jelentkezik be. Támadóként, ha rootot tudsz szerezni, úgymond rendelkezel a királyság kulcsaival.”
