VMware utstedte nye presserende tiltak og veiledning 29. september for kunder av sin vSphere-virtualiseringsteknologi etter at Mandiant rapporterte å oppdage en Kina-basert trusselaktør ved å bruke en problematisk ny teknikk for å installere flere vedvarende bakdører på ESXi-hypervisorer.
Teknikken som Mandiant observerte involverer trusselaktøren – sporet som UNC3886 – ved å bruke ondsinnede vSphere Installation Bundles (VIB) for å snike skadelig programvare inn på målsystemer. For å gjøre det krevde angriperne administratorrettigheter til ESXi-hypervisoren. Men det var ingen bevis for at de trengte å utnytte noen sårbarhet i VMwares produkter for å distribuere skadelig programvare, sa Mandiant.
Bredt utvalg av ondsinnede funksjoner
Bakdørene, som Mandiant har kalt VIRTUALPITA og VIRTUALPIE, gjør det mulig for angriperne å utføre en rekke ondsinnede aktiviteter. Dette inkluderer å opprettholde vedvarende administratortilgang til ESXi-hypervisoren; sende ondsinnede kommandoer til gjeste-VM via hypervisoren; overføre filer mellom ESXi hypervisor og gjestemaskiner; tukling med loggingstjenester; og utføre vilkårlige kommandoer mellom VM-gjester på samme hypervisor.
"Ved å bruke malware-økosystemet er det mulig for en angriper å eksternt få tilgang til en hypervisor og sende vilkårlige kommandoer som vil bli utført på en virtuell gjestemaskin," sier Alex Marvi, sikkerhetskonsulent hos Mandiant. "Bakdørene Mandiant observerte, VIRTUALPITA og VIRTUALPIE, gir angripere interaktiv tilgang til selve hypervisorene. De lar angripere sende kommandoene fra vert til gjest.»
Marvi sier at Mandiant observerte et eget Python-skript som spesifiserte hvilke kommandoer som skulle kjøres og hvilken gjestemaskin de skulle kjøres på.
Mandiant sa at den var klar over færre enn 10 organisasjoner der trusselaktørene hadde klart å kompromittere ESXi-hypervisorer på denne måten. Men forvent at flere hendelser dukker opp, advarte sikkerhetsleverandøren i sin rapport: «Selv om vi la merke til at teknikken som brukes av UNC3886 krever et dypere nivå av forståelse av ESXi-operativsystemet og VMwares virtualiseringsplattform, forventer vi at en rekke andre trusselaktører vil bruke informasjonen som er skissert i denne forskningen for å begynne å bygge ut lignende evner."
VMware beskriver en VIB som en "samling av filer pakket inn i ett enkelt arkiv for å lette distribusjonen." De er utviklet for å hjelpe administratorer med å administrere virtuelle systemer, distribuere tilpassede binærfiler og oppdateringer på tvers av miljøet, og lage oppstartsoppgaver og tilpassede brannmurregler ved omstart av ESXi-system.
Vanskelig ny taktikk
VMware har utpekt fire såkalte akseptnivåer for VIB-er: VMware-sertifiserte VIB-er som er VMware-skapt, testet og signert; VMwareAccepted VIBs som er opprettet og signert av godkjente VMware-partnere; Partnerstøttede VIB-er fra pålitelige VMware-partnere; og fellesskapsstøttede VIB-er opprettet av enkeltpersoner eller partnere utenfor VMware-partnerprogrammet. Fellesskapsstøttede VIB-er er ikke VMware- eller partnertestet eller støttet.
Når et ESXi-bilde opprettes, blir det tildelt et av disse akseptnivåene, sa Mandiant. "Alle VIB-er som legges til bildet må være på samme akseptnivå eller høyere," sa sikkerhetsleverandøren. "Dette bidrar til å sikre at ikke-støttede VIB-er ikke blir blandet inn med støttede VIB-er når du oppretter og vedlikeholder ESXi-bilder."
VMwares standard minimum akseptnivå for en VIB er PartnerSupported. Men administratorer kan endre nivået manuelt og tvinge en profil til å ignorere minimumskrav til akseptnivå når de installerer en VIB, sa Mandiant.
I hendelsene som Mandiant observerte, ser angriperne ut til å ha brukt dette faktum til sin fordel ved først å opprette en VIB på CommunitySupport-nivå og deretter endre beskrivelsesfilen for å få det til å se ut som VIB var partnerstøttet. De brukte deretter en såkalt force flagg-parameter assosiert med VIB-bruk for å installere den ondsinnede VIB-en på mål-ESXi-hypervisorene. Marvi pekte Dark Reading til VMware da han ble spurt om kraftparameteren bør betraktes som en svakhet med tanke på at den gir administratorer en måte å overstyre minimumskravene for VIB-godkjenning.
Driftssikkerhet bortfaller?
En talskvinne for VMware benektet at problemet var en svakhet. Selskapet anbefaler Secure Boot fordi det deaktiverer denne kraftkommandoen, sier hun. "Angriperen måtte ha full tilgang til ESXi for å kjøre kraftkommandoen, og et andre lag med sikkerhet i Secure Boot er nødvendig for å deaktivere denne kommandoen," sier hun.
Hun bemerker også at mekanismer er tilgjengelige som vil tillate organisasjoner å identifisere når en VIB kan ha blitt tuklet med. I et blogginnlegg som VMWare publiserte samtidig med Mandiants rapport, identifiserte VMware angrepene som sannsynligvis et resultat av driftssikkerhetssvakheter fra offerorganisasjonenes side. Selskapet skisserte spesifikke måter organisasjoner kan konfigurere sine miljøer for å beskytte mot VIB-misbruk og andre trusler.
VMware anbefaler at organisasjoner implementerer Secure Boot, Trusted Platform Modules og Host Attestation for å validere programvaredrivere og andre komponenter. "Når Secure Boot er aktivert, vil bruken av 'CommunitySupported'-akseptnivået bli blokkert, og forhindrer angripere i å installere usignerte og feilsignerte VIB-er (selv med –force-parameteren som angitt i rapporten)," sa VMware.
Selskapet sa også at organisasjoner bør implementere robuste patching- og livssyklusadministrasjonspraksiser og bruke teknologier som VMware Carbon Black Endpoint og VMware NSX-suite for å herde arbeidsbelastninger.
Mandiant publiserte også et eget andre blogginnlegg 29. september med detaljer hvordan organisasjoner kan oppdage trusler som den de observerte og hvordan de kan herde ESXi-miljøene deres mot dem. Blant forsvarene er nettverksisolering, sterk identitets- og tilgangsstyring og riktige tjenesters administrasjonspraksis.
Mike Parkin, senior teknisk ingeniør ved Vulcan Cyber, sier angrepet demonstrerer en veldig interessant teknikk for angripere for å beholde utholdenhet og utvide sin tilstedeværelse i et målrettet miljø. "Det ser mer ut som noe en stats- eller statsstøttet trussel med god ressurser ville bruke, i motsetning til hva en vanlig kriminell APT-gruppe ville bruke," sier han.
Parkin sier at VMware-teknologier kan være svært robuste og motstandsdyktige når de implementeres ved å bruke selskapets anbefalte konfigurasjoner og bransjebestemmelser. «Ting blir imidlertid mye mer utfordrende når trusselaktøren logger på med administrativ legitimasjon. Som angriper, hvis du kan få rot, har du nøklene til kongeriket, for å si det sånn.»
