Niebezpieczna nowa technika ataku narażająca na szwank hipernadzorców VMware ESXi

Firma VMware wydała 29 września pilne nowe środki zaradcze i wytyczne dla klientów swojej technologii wirtualizacji vSphere po tym, jak firma Mandiant zgłosiła wykrycie ugrupowania cyberprzestępczego z siedzibą w Chinach przy użyciu niepokojącej nowej techniki instalowania wielu trwałych backdoorów na hiperwizorach ESXi.

Technika zaobserwowana przez firmę Mandiant polega na tym, że cyberprzestępca — śledzony jako UNC3886 — wykorzystuje złośliwe pakiety instalacyjne vSphere (VIB) w celu przemycenia swojego złośliwego oprogramowania do systemów docelowych. Aby to zrobić, osoby atakujące wymagały uprawnień administratora do hiperwizora ESXi. Ale nie było dowodów na to, że musieli wykorzystać jakąkolwiek lukę w produktach VMware, aby wdrożyć złośliwe oprogramowanie, powiedział Mandiant.

Szeroki zakres złośliwych możliwości

Tylne drzwi, które Mandiant nazwał VIRTUALPITA i VIRTUALPIE, umożliwiają atakującym przeprowadzenie szeregu złośliwych działań. Obejmuje to utrzymywanie stałego dostępu administratora do hiperwizora ESXi; wysyłanie złośliwych poleceń do maszyny wirtualnej gościa za pośrednictwem hiperwizora; przesyłanie plików między hiperwizorem ESXi a maszynami-gościami; manipulowanie usługami logowania; oraz wykonywanie dowolnych poleceń między gośćmi VM na tym samym hiperwizorze.

„Korzystając z ekosystemu złośliwego oprogramowania, osoba atakująca może uzyskać zdalny dostęp do hiperwizora i wysłać dowolne polecenia, które zostaną wykonane na gościnnej maszynie wirtualnej” — mówi Alex Marvi, konsultant ds. bezpieczeństwa w firmie Mandiant. „Tylne furtki, które zaobserwował Mandiant, VIRTUALPITA i VIRTUALPIE, umożliwiają atakującym interaktywny dostęp do samych hiperwizorów. Pozwalają atakującym przekazywać polecenia od hosta do gościa”. 

Marvi mówi, że Mandiant zaobserwował osobny skrypt Pythona określający, które polecenia mają być uruchamiane i na którym komputerze-gościu mają być uruchamiane.

Mandiant powiedział, że wie o mniej niż 10 organizacjach, w których cyberprzestępcom udało się w ten sposób zhakować hiperwizory ESXi. Ale należy się spodziewać większej liczby incydentów, ostrzegł w swoim raporcie dostawca zabezpieczeń: „Chociaż zauważyliśmy, że technika używana przez UNC3886 wymaga głębszego zrozumienia systemu operacyjnego ESXi i platformy wirtualizacji VMware, przewidujemy, że wiele innych cyberprzestępców wykorzysta informacji przedstawionych w tym badaniu, aby rozpocząć budowanie podobnych możliwości”.

VMware opisuje VIB jako „zbiór plików spakowane w jedno archiwum, aby ułatwić dystrybucję”. Zostały zaprojektowane, aby pomóc administratorom zarządzać systemami wirtualnymi, dystrybuować niestandardowe pliki binarne i aktualizacje w środowisku oraz tworzyć zadania uruchamiania i niestandardowe reguły zapory podczas ponownego uruchamiania systemu ESXi.

Podstępna nowa taktyka

Firma VMware wyznaczyła cztery tak zwane poziomy akceptacji dla VIB: VMwareCertified VIB, które są tworzone, testowane i podpisywane przez VMware; VMwareAccepted VIB, które są tworzone i podpisywane przez zatwierdzonych partnerów VMware; PartnerSupported VIB od zaufanych partnerów VMware; oraz CommunitySupported VIB utworzone przez osoby lub partnerów spoza programu partnerskiego VMware. VIB obsługiwane przez społeczność nie są testowane ani obsługiwane przez firmę VMware lub partnerów.

Kiedy tworzony jest obraz ESXi, przypisywany jest mu jeden z tych poziomów akceptacji, powiedział Mandiant. „Wszelkie VIB dodane do obrazu muszą być na tym samym lub wyższym poziomie akceptacji” — powiedział dostawca zabezpieczeń. „Pomaga to zapewnić, że nieobsługiwane VIB nie zostaną pomieszane z obsługiwanymi VIB podczas tworzenia i utrzymywania obrazów ESXi”. 

Domyślny minimalny poziom akceptacji VMware dla VIB to PartnerSupported. Ale administratorzy mogą zmienić poziom ręcznie i zmusić profil do ignorowania minimalnych wymagań dotyczących poziomu akceptacji podczas instalowania VIB, powiedział Mandiant.

W incydentach, które zaobserwował Mandiant, napastnicy najwyraźniej wykorzystali ten fakt na swoją korzyść, najpierw tworząc plik VIB na poziomie CommunitySupport, a następnie modyfikując jego plik deskryptora, aby wyglądał, jakby VIB był obsługiwany przez PartnerSupport. Następnie użyli tak zwanego parametru flagi siły związanego z użyciem VIB, aby zainstalować złośliwy VIB na docelowych hiperwizorach ESXi. Marvi wskazał Dark Reading na VMware, gdy zapytano go, czy parametr siły należy uznać za słabość, biorąc pod uwagę, że daje on administratorom sposób na obejście minimalnych wymagań akceptacji VIB.

Utrata bezpieczeństwa operacji?

Rzeczniczka VMware zaprzeczyła, że ​​problem był słabością. Firma zaleca Bezpieczny rozruch, ponieważ wyłącza to polecenie wymuszenia, mówi. „Atakujący musiał mieć pełny dostęp do ESXi, aby uruchomić polecenie wymuszenia, a druga warstwa zabezpieczeń w Bezpiecznym rozruchu jest niezbędna do wyłączenia tego polecenia” — mówi. 

Zauważa również, że dostępne są mechanizmy, które pozwolą organizacjom zidentyfikować, kiedy VIB mógł zostać naruszony. W poście na blogu, który VMWare opublikował w tym samym czasie, co raport Mandianta, VMware zidentyfikował ataki jako prawdopodobnie wynikiem słabości bezpieczeństwa operacyjnego ze strony organizacji ofiar. Firma przedstawiła konkretne sposoby, w jakie organizacje mogą konfigurować swoje środowiska w celu ochrony przed niewłaściwym wykorzystaniem VIB i innymi zagrożeniami.

Firma VMware zaleca, aby organizacje wdrożyły Bezpieczny rozruch, moduły zaufanej platformy i zaświadczenie hosta w celu sprawdzenia poprawności sterowników oprogramowania i innych składników. „Po włączeniu Bezpiecznego rozruchu korzystanie z poziomu akceptacji „CommunitySupported” zostanie zablokowane, co uniemożliwi atakującym zainstalowanie niepodpisanych i nieprawidłowo podpisanych VIB (nawet z parametrem –force, jak odnotowano w raporcie)” – powiedział VMware.

Firma stwierdziła również, że organizacje powinny wdrożyć solidne praktyki w zakresie instalowania poprawek i zarządzania cyklem życia oraz wykorzystywać technologie, takie jak VMware Carbon Black Endpoint i pakiet VMware NSX, w celu wzmocnienia obciążeń roboczych.

Mandiant opublikował również osobny drugi post na blogu 29 września, który zawierał szczegółowe informacje jak organizacje mogą wykrywać zagrożenia jak to, które zaobserwowali, i jak uodpornić na nie swoje środowiska ESXi. Wśród zabezpieczeń są izolacja sieci, silne zarządzanie tożsamością i dostępem oraz odpowiednie praktyki zarządzania usługami.

Mike Parkin, starszy inżynier techniczny w Vulcan Cyber, mówi, że atak demonstruje bardzo interesującą technikę dla atakujących, aby zachować wytrwałość i rozszerzyć swoją obecność w docelowym środowisku. „Wygląda bardziej na coś, czego użyłoby dobrze wyposażone zagrożenie państwowe lub sponsorowane przez państwo, niż na to, co zastosowałaby zwykła grupa przestępcza APT” — mówi.

Parkin twierdzi, że technologie VMware mogą być bardzo solidne i odporne, jeśli zostaną wdrożone przy użyciu zalecanych przez firmę konfiguracji i najlepszych praktyk branżowych. „Jednak sytuacja staje się znacznie trudniejsza, gdy cyberprzestępca loguje się przy użyciu poświadczeń administracyjnych. Jako atakujący, jeśli możesz zrootować, masz klucze do królestwa, że ​​tak powiem.