VMware mengeluarkan langkah-langkah mitigasi dan panduan baru yang mendesak pada 29 September untuk pelanggan teknologi virtualisasi vSphere setelah Mandiant melaporkan mendeteksi pelaku ancaman yang berbasis di China menggunakan teknik baru yang meresahkan untuk memasang beberapa backdoor persisten pada hypervisor ESXi.
Teknik yang diamati Mandiant melibatkan pelaku ancaman โ dilacak sebagai UNC3886 โ menggunakan vSphere Installation Bundle (VIB) berbahaya untuk menyelundupkan malware mereka ke sistem target. Untuk melakukannya, penyerang memerlukan hak istimewa tingkat admin ke hypervisor ESXi. Tetapi tidak ada bukti bahwa mereka perlu mengeksploitasi kerentanan apa pun dalam produk VMware untuk menyebarkan malware, kata Mandiant.
Beragam Kemampuan Berbahaya
Pintu belakang, yang Mandiant telah dijuluki VIRTUALPITA dan VIRTUALPIE, memungkinkan penyerang untuk melakukan berbagai aktivitas berbahaya. Ini termasuk menjaga akses admin tetap ke hypervisor ESXi; mengirim perintah jahat ke VM tamu melalui hypervisor; mentransfer file antara hypervisor ESXi dan mesin tamu; merusak layanan penebangan; dan menjalankan perintah sewenang-wenang antara tamu VM di hypervisor yang sama.
โDengan menggunakan ekosistem malware, penyerang dapat mengakses hypervisor dari jarak jauh dan mengirim perintah sewenang-wenang yang akan dijalankan pada mesin virtual tamu,โ kata Alex Marvi, konsultan keamanan di Mandiant. โPintu belakang yang diamati Mandiant, VIRTUALPITA dan VIRTUALPIE, memungkinkan penyerang mengakses secara interaktif ke hypervisor itu sendiri. Mereka mengizinkan penyerang untuk menyampaikan perintah dari tuan rumah ke tamu.โ
Marvi mengatakan Mandiant mengamati skrip Python terpisah yang menentukan perintah mana yang akan dijalankan dan mesin tamu mana yang akan menjalankannya.
Mandiant mengatakan mengetahui kurang dari 10 organisasi di mana aktor ancaman telah berhasil mengkompromikan hypervisor ESXi dengan cara ini. Tetapi mengharapkan lebih banyak insiden muncul, vendor keamanan memperingatkan dalam laporannya: โMeskipun kami mencatat bahwa teknik yang digunakan oleh UNC3886 memerlukan tingkat pemahaman yang lebih dalam tentang sistem operasi ESXi dan platform virtualisasi VMware, kami mengantisipasi berbagai aktor ancaman lain akan menggunakannya. informasi yang diuraikan dalam penelitian ini untuk mulai membangun kemampuan serupa.โ
VMware menggambarkan VIB sebagai โkoleksi file dikemas ke dalam satu arsip untuk memfasilitasi distribusi.โ Mereka dirancang untuk membantu administrator mengelola sistem virtual, mendistribusikan binari khusus dan pembaruan di seluruh lingkungan, dan membuat tugas startup dan aturan firewall khusus pada restart sistem ESXi.
Taktik Baru yang Rumit
VMware telah menetapkan empat apa yang disebut tingkat penerimaan untuk VIB: VIB VMwareCertified yang dibuat, diuji, dan ditandatangani oleh VMware; VMwareAccepted VIB yang dibuat dan ditandatangani oleh mitra VMware yang disetujui; VIB yang didukung Mitra dari mitra VMware tepercaya; dan VIB yang Didukung Komunitas yang dibuat oleh individu atau mitra di luar program mitra VMware. VIB yang Didukung Komunitas tidak diuji atau didukung oleh VMware atau mitra.
Ketika gambar ESXi dibuat, itu diberikan salah satu dari tingkat penerimaan ini, kata Mandiant. โSetiap VIB yang ditambahkan ke gambar harus berada pada tingkat penerimaan yang sama atau lebih tinggi,โ kata vendor keamanan tersebut. โIni membantu memastikan bahwa VIB yang tidak didukung tidak tercampur dengan VIB yang didukung saat membuat dan memelihara gambar ESXi.โ
Tingkat penerimaan minimum default VMware untuk VIB adalah Didukung Mitra. Tetapi administrator dapat mengubah level secara manual dan memaksa profil untuk mengabaikan persyaratan level penerimaan minimum saat memasang VIB, kata Mandiant.
Dalam insiden yang diamati Mandiant, penyerang tampaknya telah menggunakan fakta ini untuk keuntungan mereka dengan terlebih dahulu membuat VIB tingkat CommunitySupport dan kemudian memodifikasi file deskriptornya agar tampak bahwa VIB adalah Didukung Mitra. Mereka kemudian menggunakan apa yang disebut parameter force flag yang terkait dengan penggunaan VIB untuk menginstal VIB berbahaya pada hypervisor ESXi target. Marvi menunjuk Dark Reading ke VMware ketika ditanya apakah parameter kekuatan harus dianggap sebagai kelemahan mengingat hal itu memberi administrator cara untuk mengesampingkan persyaratan penerimaan VIB minimum.
Selang Keamanan Operasi?
Seorang juru bicara VMware membantah masalah itu sebagai kelemahan. Perusahaan merekomendasikan Boot Aman karena menonaktifkan perintah paksa ini, katanya. โPenyerang harus memiliki akses penuh ke ESXi untuk menjalankan perintah force, dan lapisan keamanan kedua di Secure Boot diperlukan untuk menonaktifkan perintah ini,โ katanya.
Dia juga mencatat bahwa tersedia mekanisme yang memungkinkan organisasi untuk mengidentifikasi kapan VIB mungkin telah dirusak. Dalam posting blog yang diterbitkan VMWare bersamaan dengan laporan Mandiant, VMware mengidentifikasi serangan itu sebagai kemungkinan hasil dari kelemahan keamanan operasional dari pihak organisasi korban. Perusahaan menguraikan cara khusus organisasi dapat mengonfigurasi lingkungan mereka untuk melindungi dari penyalahgunaan VIB dan ancaman lainnya.
VMware merekomendasikan agar organisasi mengimplementasikan Boot Aman, Modul Platform Tepercaya, dan Pengesahan Host untuk memvalidasi driver perangkat lunak dan komponen lainnya. โKetika Secure Boot diaktifkan, penggunaan tingkat penerimaan 'CommunitySupported' akan diblokir, mencegah penyerang memasang VIB yang tidak ditandatangani dan tidak ditandatangani dengan benar (bahkan dengan parameter โforce seperti yang tercantum dalam laporan),โ kata VMware.
Perusahaan juga mengatakan organisasi harus menerapkan patching yang kuat dan praktik manajemen siklus hidup dan menggunakan teknologi seperti VMware Carbon Black Endpoint dan VMware NSX suite untuk memperkuat beban kerja.
Mandiant juga menerbitkan posting blog kedua yang terpisah pada 29 September yang mendetail bagaimana organisasi dapat mendeteksi ancaman seperti yang mereka amati dan bagaimana mengeraskan lingkungan ESXi mereka terhadap mereka. Di antara pertahanannya adalah isolasi jaringan, manajemen identitas dan akses yang kuat, dan praktik manajemen layanan yang tepat.
Mike Parkin, insinyur teknis senior di Vulcan Cyber, mengatakan serangan tersebut menunjukkan teknik yang sangat menarik bagi penyerang untuk mempertahankan kegigihan dan memperluas kehadiran mereka di lingkungan yang ditargetkan. โIni lebih terlihat seperti sesuatu yang akan digunakan oleh negara atau ancaman yang disponsori negara dengan sumber daya yang baik, dibandingkan dengan apa yang akan disebarkan oleh kelompok kriminal APT biasa,โ katanya.
Parkin mengatakan teknologi VMware bisa sangat kuat dan tangguh saat diterapkan menggunakan konfigurasi yang direkomendasikan perusahaan dan praktik terbaik industri. โNamun, hal-hal menjadi jauh lebih menantang ketika pelaku ancaman masuk dengan kredensial administratif. Sebagai penyerang, jika Anda bisa mendapatkan root, Anda memiliki kunci kerajaan, begitulah.
