VMware ha emesso nuove misure urgenti di mitigazione e linee guida il 29 settembre per i clienti della sua tecnologia di virtualizzazione vSphere dopo che Mandiant ha riferito di aver rilevato un attore di minacce con sede in Cina utilizzando una nuova tecnica preoccupante per installare più backdoor persistenti sugli hypervisor ESXi.
La tecnica osservata da Mandiant prevede che l'autore della minaccia, tracciato come UNC3886, utilizzi vSphere Installation Bundles (VIB) dannosi per intrufolarsi con il proprio malware nei sistemi di destinazione. Per fare ciò, gli aggressori richiedevano privilegi a livello di amministratore per l'hypervisor ESXi. Ma non c'erano prove che avessero bisogno di sfruttare qualsiasi vulnerabilità nei prodotti VMware per distribuire il malware, ha affermato Mandiant.
Ampia gamma di funzionalità dannose
Le backdoor, che Mandiant ha soprannominato VIRTUALPITA e VIRTUALPIE, consentono agli aggressori di svolgere una serie di attività dannose. Ciò include il mantenimento dell'accesso amministrativo permanente all'hypervisor ESXi; invio di comandi dannosi alla VM guest tramite l'hypervisor; trasferire file tra l'hypervisor ESXi e le macchine guest; manomissione dei servizi di registrazione; ed eseguire comandi arbitrari tra guest VM sullo stesso hypervisor.
"Utilizzando l'ecosistema del malware, è possibile per un utente malintenzionato accedere in remoto a un hypervisor e inviare comandi arbitrari che verranno eseguiti su una macchina virtuale ospite", afferma Alex Marvi, consulente per la sicurezza di Mandiant. “Le backdoor osservate da Mandiant, VIRTUALPITA e VIRTUALPIE, consentono agli aggressori l'accesso interattivo agli hypervisor stessi. Consentono agli aggressori di passare i comandi dall'host all'ospite.
Marvi afferma che Mandiant ha osservato uno script Python separato che specifica quali comandi eseguire e su quale macchina guest eseguirli.
Mandiant ha affermato di essere a conoscenza di meno di 10 organizzazioni in cui gli attori delle minacce sono riusciti a compromettere gli hypervisor ESXi in questo modo. Ma si aspettano che emergano altri incidenti, il fornitore di sicurezza ha avvertito nel suo rapporto: "Mentre abbiamo notato che la tecnica utilizzata da UNC3886 richiede un livello più profondo di comprensione del sistema operativo ESXi e della piattaforma di virtualizzazione di VMware, prevediamo che una varietà di altri attori delle minacce utilizzerà le informazioni delineate in questa ricerca per iniziare a sviluppare capacità simili.
VMware descrive un VIB come "raccolta di file impacchettato in un unico archivio per facilitare la distribuzione. Sono progettati per aiutare gli amministratori a gestire i sistemi virtuali, distribuire binari personalizzati e aggiornamenti nell'ambiente e creare attività di avvio e regole firewall personalizzate al riavvio del sistema ESXi.
Nuova tattica complicata
VMware ha designato quattro cosiddetti livelli di accettazione per i VIB: VIB certificati VMware che sono creati, testati e firmati da VMware; VIB VMwareAccepted creati e firmati da partner VMware approvati; PartnerSupported VIBs da fidati partner VMware; e VIB CommunitySupported creati da individui o partner al di fuori del programma partner VMware. I VIB supportati dalla community non sono testati o supportati da VMware o dai partner.
Quando viene creata un'immagine ESXi, le viene assegnato uno di questi livelli di accettazione, ha affermato Mandiant. "Qualsiasi VIB aggiunto all'immagine deve essere allo stesso livello di accettazione o superiore", ha affermato il fornitore di sicurezza. "Questo aiuta a garantire che i VIB non supportati non vengano mescolati con i VIB supportati durante la creazione e la manutenzione delle immagini ESXi."
Il livello di accettazione minimo predefinito di VMware per un VIB è PartnerSupported. Ma gli amministratori possono modificare il livello manualmente e forzare un profilo a ignorare i requisiti del livello minimo di accettazione durante l'installazione di un VIB, ha affermato Mandiant.
Negli incidenti osservati da Mandiant, gli aggressori sembrano aver sfruttato questo fatto a proprio vantaggio creando prima un VIB a livello di CommunitySupport e poi modificando il suo file descrittore per far sembrare che il VIB fosse PartnerSupported. Hanno quindi utilizzato un cosiddetto parametro force flag associato all'uso di VIB per installare il VIB dannoso sugli hypervisor ESXi di destinazione. Marvi ha indicato Dark Reading a VMware quando gli è stato chiesto se il parametro force debba essere considerato un punto debole considerando che offre agli amministratori un modo per ignorare i requisiti minimi di accettazione VIB.
Operazione Security Lapse?
Una portavoce di VMware ha negato che il problema fosse un punto debole. La società consiglia Secure Boot perché disabilita questo comando di forza, afferma. "L'attaccante doveva avere pieno accesso a ESXi per eseguire il comando force e per disabilitare questo comando è necessario un secondo livello di sicurezza in Secure Boot", afferma.
Rileva inoltre che sono disponibili meccanismi che consentirebbero alle organizzazioni di identificare quando un VIB potrebbe essere stato manomesso. In un post sul blog che VMWare ha pubblicato contemporaneamente al rapporto di Mandiant, VMware ha identificato gli attacchi come probabilmente il risultato di debolezze di sicurezza operativa da parte delle organizzazioni delle vittime. L'azienda ha delineato i modi specifici in cui le organizzazioni possono configurare i propri ambienti per proteggersi dall'uso improprio di VIB e da altre minacce.
VMware consiglia alle organizzazioni di implementare Secure Boot, Trusted Platform Modules e Host Attestation per convalidare driver software e altri componenti. "Quando Secure Boot è abilitato, l'uso del livello di accettazione 'CommunitySupported' verrà bloccato, impedendo agli aggressori di installare VIB non firmati e firmati in modo improprio (anche con il parametro –force come indicato nel rapporto)", ha affermato VMware.
La società ha inoltre affermato che le organizzazioni dovrebbero implementare solide pratiche di gestione delle patch e del ciclo di vita e utilizzare tecnologie come il suo VMware Carbon Black Endpoint e la suite VMware NSX per rafforzare i carichi di lavoro.
Mandiant ha anche pubblicato un secondo post sul blog separato il 29 settembre che descriveva in dettaglio come le organizzazioni possono rilevare le minacce come quello che hanno osservato e come rafforzare i loro ambienti ESXi contro di loro. Tra le difese ci sono l'isolamento della rete, una forte gestione di identità e accessi e pratiche di gestione dei servizi adeguate.
Mike Parkin, ingegnere tecnico senior presso Vulcan Cyber, afferma che l'attacco dimostra una tecnica molto interessante per gli aggressori per mantenere la persistenza ed espandere la loro presenza in un ambiente mirato. "Sembra più qualcosa che userebbe una minaccia statale o sponsorizzata dallo stato con risorse adeguate, rispetto a ciò che un comune gruppo criminale APT schiererebbe", afferma.
Parkin afferma che le tecnologie VMware possono essere molto robuste e resilienti se implementate utilizzando le configurazioni consigliate dall'azienda e le best practice del settore. “Tuttavia, le cose diventano molto più difficili quando l'autore della minaccia accede con credenziali amministrative. Come aggressore, se riesci a ottenere root hai le chiavi del regno, per così dire.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
