VMware heeft op 29 september dringende nieuwe risicobeperkende maatregelen en richtlijnen uitgevaardigd voor klanten van zijn vSphere-virtualisatietechnologie nadat Mandiant meldde dat hij een in China gevestigde bedreigingsactor had gedetecteerd die een verontrustende nieuwe techniek gebruikte om meerdere persistente backdoors op ESXi-hypervisors te installeren.
De techniek die Mandiant observeerde, houdt in dat de dreigingsactor โ gevolgd als UNC3886 โ kwaadaardige vSphere Installation Bundles (VIB's) gebruikt om hun malware naar doelsystemen te sluipen. Om dit te doen, hadden de aanvallers rechten op beheerdersniveau nodig voor de ESXi-hypervisor. Maar er was geen bewijs dat ze een kwetsbaarheid in de producten van VMware moesten misbruiken om de malware te implementeren, zei Mandiant.
Breed scala aan schadelijke mogelijkheden
De achterdeuren, die Mandiant heeft VIRTUALPITA en VIRTUALPIE gesynchroniseerd, stellen de aanvallers in staat om een โโreeks kwaadaardige activiteiten uit te voeren. Dit omvat het onderhouden van permanente beheerderstoegang tot de ESXi-hypervisor; kwaadaardige commando's naar de gast-VM sturen via de hypervisor; bestanden overdragen tussen de ESXi-hypervisor en gastmachines; knoeien met logservices; en het uitvoeren van willekeurige opdrachten tussen VM-gasten op dezelfde hypervisor.
"Met behulp van het malware-ecosysteem is het voor een aanvaller mogelijk om op afstand toegang te krijgen tot een hypervisor en willekeurige opdrachten te verzenden die worden uitgevoerd op een virtuele gastmachine", zegt Alex Marvi, een beveiligingsadviseur bij Mandiant. โDe backdoors die Mandiant waarnam, VIRTUALPITA en VIRTUALPIE, geven aanvallers interactieve toegang tot de hypervisors zelf. Ze stellen aanvallers in staat om de commando's van host naar guest door te geven."
Marvi zegt dat Mandiant een apart Python-script observeerde dat specificeerde welke commando's moesten worden uitgevoerd en op welke gastmachine ze moesten worden uitgevoerd.
Mandiant zei dat het op de hoogte was van minder dan 10 organisaties waar de bedreigingsactoren erin waren geslaagd om op deze manier ESXi-hypervisors te compromitteren. Maar verwacht dat er meer incidenten zullen opduiken, waarschuwde de beveiligingsleverancier in zijn rapport: โHoewel we opmerkten dat de techniek die wordt gebruikt door UNC3886 een dieper begrip vereist van het ESXi-besturingssysteem en het virtualisatieplatform van VMware, verwachten we dat een verscheidenheid aan andere bedreigingsactoren zullen gebruiken de informatie die in dit onderzoek wordt geschetst om te beginnen met het uitbouwen van vergelijkbare capaciteiten.
VMware omschrijft een VIB als een โverzameling van bestanden verpakt in een enkel archief om distributie te vergemakkelijken.โ Ze zijn ontworpen om beheerders te helpen bij het beheren van virtuele systemen, het distribueren van aangepaste binaire bestanden en updates in de omgeving, en het maken van opstarttaken en aangepaste firewallregels bij het opnieuw opstarten van het ESXi-systeem.
Lastige nieuwe tactiek
VMware heeft vier zogenaamde acceptatieniveaus voor VIB's aangewezen: VMwareCertified VIB's die door VMware zijn gemaakt, getest en ondertekend; VMwareAccepted VIB's die zijn gemaakt en ondertekend door goedgekeurde VMware-partners; Door partners ondersteunde VIB's van vertrouwde VMware-partners; en door de gemeenschap ondersteunde VIB's gemaakt door individuen of partners buiten het VMware-partnerprogramma. Door de gemeenschap ondersteunde VIB's zijn niet door VMware of partners getest of ondersteund.
Wanneer een ESXi-afbeelding wordt gemaakt, krijgt deze een van deze acceptatieniveaus toegewezen, zei Mandiant. "Alle VIB's die aan de afbeelding worden toegevoegd, moeten hetzelfde acceptatieniveau of hoger hebben", aldus de beveiligingsleverancier. "Dit helpt ervoor te zorgen dat niet-ondersteunde VIB's niet vermengd raken met ondersteunde VIB's bij het maken en onderhouden van ESXi-images."
Het standaard minimale acceptatieniveau van VMware voor een VIB is PartnerSupported. Maar beheerders kunnen het niveau handmatig wijzigen en een profiel dwingen om de minimale acceptatieniveauvereisten te negeren bij het installeren van een VIB, zei Mandiant.
Bij de incidenten die Mandiant waarnam, lijken de aanvallers dit feit in hun voordeel te hebben gebruikt door eerst een VIB op CommunitySupport-niveau te maken en vervolgens het descriptorbestand aan te passen zodat het lijkt alsof de VIB PartnerSupported was. Vervolgens gebruikten ze een zogenaamde force flag-parameter geassocieerd met VIB-gebruik om de kwaadaardige VIB op de beoogde ESXi-hypervisors te installeren. Marvi wees Dark Reading naar VMware toen hem werd gevraagd of de force-parameter als een zwak punt moet worden beschouwd, aangezien het beheerders een manier biedt om de minimale VIB-acceptatievereisten te negeren.
Operatie Beveiliging vervalt?
Een woordvoerster van VMware ontkende dat het een zwak punt was. Het bedrijf raadt Secure Boot aan omdat het dit geforceerde commando uitschakelt, zegt ze. "De aanvaller moest volledige toegang hebben tot ESXi om de force-opdracht uit te voeren, en een tweede beveiligingslaag in Secure Boot is nodig om deze opdracht uit te schakelen", zegt ze.
Ze merkt ook op dat er mechanismen beschikbaar zijn waarmee organisaties kunnen vaststellen wanneer er mogelijk met een VIB is geknoeid. In een blogpost die VMWare tegelijk met het rapport van Mandiant publiceerde, identificeerde VMware de aanvallen als waarschijnlijk het gevolg van zwakke punten in de operationele beveiliging van de kant van de slachtofferorganisaties. Het bedrijf schetste specifieke manieren waarop organisaties hun omgevingen kunnen configureren om zich te beschermen tegen VIB-misbruik en andere bedreigingen.
VMware raadt organisaties aan Secure Boot, Trusted Platform Modules en Host Attestation te implementeren om softwarestuurprogramma's en andere componenten te valideren. "Als Secure Boot is ingeschakeld, wordt het gebruik van het acceptatieniveau 'CommunitySupported' geblokkeerd, waardoor wordt voorkomen dat aanvallers niet-ondertekende en onjuist ondertekende VIB's installeren (zelfs met de โforce-parameter zoals vermeld in het rapport)", aldus VMware.
Het bedrijf zei ook dat organisaties robuuste patching- en levenscyclusbeheerpraktijken moeten implementeren en technologieรซn zoals VMware Carbon Black Endpoint en VMware NSX-suite moeten gebruiken om de werkdruk te versterken.
Mandiant publiceerde op 29 september ook een aparte tweede blogpost waarin gedetailleerd werd beschreven hoe organisaties bedreigingen kunnen detecteren zoals degene die ze observeerden en hoe ze hun ESXi-omgevingen tegen hen konden beschermen. Enkele van de verdedigingen zijn netwerkisolatie, sterk identiteits- en toegangsbeheer en goede praktijken voor servicebeheer.
Mike Parkin, senior technisch ingenieur bij Vulcan Cyber, zegt dat de aanval een zeer interessante techniek is voor aanvallers om doorzettingsvermogen te behouden en hun aanwezigheid in een gerichte omgeving uit te breiden. "Het lijkt meer op iets dat een door de staat of door de staat gesponsorde dreiging met veel middelen zou gebruiken, in plaats van wat een gewone criminele APT-groep zou inzetten", zegt hij.
Parkin zegt dat VMware-technologieรซn zeer robuust en veerkrachtig kunnen zijn wanneer ze worden ingezet met behulp van de door het bedrijf aanbevolen configuraties en best practices uit de branche. โHet wordt echter veel uitdagender wanneer de bedreigingsactor inlogt met beheerdersreferenties. Als je als aanvaller wortel kunt schieten, heb je als het ware de sleutels van het koninkrijk.โ
