VMware פרסמה ב-29 בספטמבר צעדי הפחתה והנחיות דחופים ללקוחות של טכנולוגיית הווירטואליזציה שלה vSphere לאחר ש-Mandiant דיווחה על זיהוי שחקן איומים מסין המשתמש בטכניקה חדשה ומטרידה להתקנת מספר דלתות אחוריות מתמשכות ב-ESXi hypervisors.
הטכניקה שבה צפה Mandiant כוללת את שחקן האיום - במעקב כ-UNC3886 - באמצעות חבילות התקנה זדוניות של vSphere (VIB) כדי להגניב את התוכנה הזדונית שלהם למערכות היעד. לשם כך, התוקפים דרשו הרשאות ברמת אדמין ל-ESXi hypervisor. אבל לא הייתה שום הוכחה שהם צריכים לנצל פגיעות כלשהי במוצרים של VMware כדי לפרוס את התוכנה הזדונית, אמר Mandiant.
מגוון רחב של יכולות זדוניות
הדלתות האחוריות, אשר Mandiant כינה את VIRTUALPITA ו- VIRTUALPIE, לאפשר לתוקפים לבצע מגוון פעילויות זדוניות. זה כולל שמירה על גישת מנהל מתמשכת ל-ESXi hypervisor; שליחת פקודות זדוניות ל-VM האורח באמצעות ה-hypervisor; העברת קבצים בין ESXi hypervisor למכונות אורח; התעסקות בשירותי כריתת עצים; וביצוע פקודות שרירותיות בין אורחי VM באותו hypervisor.
"באמצעות המערכת האקולוגית של תוכנות זדוניות, זה אפשרי לתוקף לגשת מרחוק ל-Hypervisor ולשלוח פקודות שרירותיות שיבוצעו במכונה וירטואלית של אורח", אומר אלכס מרווי, יועץ אבטחה ב-Mandiant. "הדלתות האחוריות ש-Mandiant צפה בהן, VIRTUALPITA ו-VIRTUALPIE, מאפשרות לתוקפים גישה אינטראקטיבית ל-hypervisors עצמם. הם מאפשרים לתוקפים להעביר את הפקודות ממארח לאורח".
Marvi אומר ש-Mandiant צפה בסקריפט נפרד של Python המציין אילו פקודות להפעיל ואיזה מחשב אורח להפעיל אותן.
מנדיאנט אמר כי היא מודעת לפחות מ-10 ארגונים שבהם שחקני האיום הצליחו לסכן ESXi hypervisors בצורה זו. אבל צפו שעוד תקריות יצוצו, הזהירה ספקית האבטחה בדו"ח שלה: "למרות שציינו שהטכניקה שבה משתמש UNC3886 דורשת רמה מעמיקה יותר של הבנה של מערכת ההפעלה ESXi ופלטפורמת הוירטואליזציה של VMware, אנו צופים שמגוון של גורמי איומים אחרים ישתמשו המידע המתואר במחקר זה כדי להתחיל לבנות יכולות דומות."
VMware מתארת VIB כ"אוסף קבצים ארוז לארכיון אחד כדי להקל על ההפצה." הם נועדו לעזור למנהלי מערכת לנהל מערכות וירטואליות, להפיץ קבצים בינאריים ועדכונים מותאמים אישית על פני הסביבה, וליצור משימות הפעלה וכללי חומת אש מותאמים אישית בהפעלה מחדש של מערכת ESXi.
טקטיקה חדשה וטריקית
VMware ייעדה ארבע רמות קבלה ל-VIBs: VMwareCertified VIBs שנוצרו, נבדקו ונחתמו VMware; VMwareAccepted VIBs שנוצרו ונחתמים על ידי שותפי VMware מאושרים; רכיבי VIB נתמכים בשותפים משותפי VMware מהימנים; ו-VIB נתמכים על ידי קהילה שנוצרו על ידי אנשים או שותפים מחוץ לתוכנית השותפים של VMware. VIB נתמכים על ידי קהילה אינם נבדקו או נתמכים ב-VMware או בשותפים.
כאשר נוצרת תמונת ESXi, היא מוקצית באחת מרמות הקבלה הללו, אמר מנדיאנט. "כל VIB שנוספו לתמונה חייב להיות באותה רמת קבלה או יותר", אמר ספק האבטחה. "זה עוזר להבטיח ש-VIB שאינם נתמכים לא יתערבבו עם VIBs נתמכים בעת יצירה ותחזוקה של תמונות ESXi."
ברירת המחדל של רמת הקבלה המינימלית של VMware עבור VIB היא PartnerSupported. אבל מנהלי מערכת יכולים לשנות את הרמה באופן ידני ולאלץ פרופיל להתעלם מדרישות רמת הקבלה המינימלית בעת התקנת VIB, אמר Mandiant.
בתקריות שבהן צפה מנדיאנט, נראה שהתוקפים השתמשו בעובדה זו לטובתם על ידי יצירת VIB ברמת CommunitySupport ולאחר מכן שינו את קובץ התיאורים שלו כדי שייראה שה-VIB נתמך על ידי שותפים. לאחר מכן, הם השתמשו במה שנקרא פרמטר דגל כוח המשויך לשימוש ב-VIB כדי להתקין את ה-VIB הזדוני על היעד ESXi hypervisors. Marvi הצביע על Dark Reading ל-VMware כשנשאל האם יש להתייחס לפרמטר הכוח כחולשה בהתחשב בכך שהוא נותן למנהלים דרך לעקוף את דרישות הקבלה המינימליות של VIB.
מבצע אבטחה נפילה?
דוברת VMware הכחישה שהנושא הוא חולשה. החברה ממליצה על אתחול מאובטח מכיוון שהיא משביתה את פקודת הכוח הזו, היא אומרת. "לתוקף הייתה צריכה להיות גישה מלאה ל-ESXi כדי להפעיל את פקודת הכוח, ושכבת אבטחה שנייה באתחול מאובטח נחוצה כדי להשבית את הפקודה הזו", היא אומרת.
היא גם מציינת שיש מנגנונים זמינים שיאפשרו לארגונים לזהות מתי יתכן שנחבל ב-VIB. בפוסט בבלוג ש-VMWare פרסמה במקביל לדיווח של Mandiant, VMware זיהתה את ההתקפות כ ככל הנראה תוצאה של חולשות אבטחה תפעוליות מצד ארגוני הקורבנות. החברה תיארה דרכים ספציפיות שבהן ארגונים יכולים להגדיר את הסביבות שלהם כדי להגן מפני שימוש לרעה ב-VIB ואיומים אחרים.
VMware ממליצה לארגונים להטמיע אתחול מאובטח, Trusted Platform Modules ו- Host Attestation כדי לאמת מנהלי התוכנה ורכיבים אחרים. "כאשר אתחול מאובטח מופעל, השימוש ברמת הקבלה 'נתמכת קהילה' ייחסם, וימנע מתוקפים להתקין VIBs לא חתומים וחתומים שלא כהלכה (אפילו עם הפרמטר –force כפי שצוין בדוח)", אמר VMware.
החברה גם אמרה שארגונים צריכים ליישם שיטות תיקון וניהול מחזור חיים חזקות ולהשתמש בטכנולוגיות כמו VMware Carbon Black Endpoint וחבילת VMware NSX כדי להקשות על עומסי העבודה.
מנדיאנט גם פרסם פוסט שני נפרד בבלוג ב-29 בספטמבר שפירט כיצד ארגונים יכולים לזהות איומים כמו זה שהם צפו וכיצד להקשיח את סביבות ה-ESXi שלהם נגדם. בין ההגנות ניתן למנות בידוד רשת, ניהול זהות וגישה חזקות ונוהלי ניהול שירותים נאותים.
מייק פרקין, מהנדס טכני בכיר בוולקן סייבר, אומר שהמתקפה מדגימה טכניקה מעניינת מאוד לתוקפים לשמור על התמדה ולהרחיב את נוכחותם בסביבה ממוקדת. "זה נראה יותר כמו משהו שאיום בעל משאבים ממלכתיים או בחסות מדינה ישתמש, לעומת מה שקבוצת APT פלילית נפוצה תפרוס", הוא אומר.
פרקין אומר שטכנולוגיות VMware יכולות להיות חזקות וגמישות מאוד כשהן נפרסות תוך שימוש בתצורות המומלצות של החברה ובשיטות העבודה המומלצות בתעשייה. "עם זאת, הדברים הופכים להרבה יותר מאתגרים כאשר שחקן האיום מתחבר עם אישורים מנהליים. בתור תוקף, אם אתה יכול להשתרש יש לך את המפתחות לממלכה, כביכול".
