Nova técnica de ataque perigosa que compromete hipervisores VMware ESXi

A VMware emitiu novas medidas e orientações urgentes de mitigação em 29 de setembro para clientes de sua tecnologia de virtualização vSphere, depois que a Mandiant relatou a detecção de um agente de ameaça baseado na China usando uma nova técnica problemática para instalar vários backdoors persistentes em hipervisores ESXi.

A técnica que a Mandiant observou envolve o agente da ameaça — rastreado como UNC3886 — usando vSphere Installation Bundles (VIBs) maliciosos para inserir seu malware nos sistemas de destino. Para fazer isso, os invasores exigiam privilégios de administrador para o hipervisor ESXi. Mas não há evidências de que eles precisem explorar qualquer vulnerabilidade nos produtos da VMware para implantar o malware, disse Mandiant.

Ampla Gama de Capacidades Maliciosas

As portas dos fundos, que A Mandiant apelidou de VIRTUALPITA e VIRTUALPIE, permitem que os invasores realizem uma série de atividades maliciosas. Isso inclui manter o acesso de administrador persistente ao hipervisor ESXi; envio de comandos maliciosos para a VM convidada por meio do hypervisor; transferir arquivos entre o hipervisor ESXi e as máquinas convidadas; adulteração de serviços de registro; e executar comandos arbitrários entre VMs convidadas no mesmo hypervisor.

“Usando o ecossistema de malware, é possível que um invasor acesse remotamente um hipervisor e envie comandos arbitrários que serão executados em uma máquina virtual convidada”, diz Alex Marvi, consultor de segurança da Mandiant. “As backdoors observadas pela Mandiant, VIRTUALPITA e VIRTUALPIE, permitem aos invasores acesso interativo aos próprios hipervisores. Eles permitem que os invasores passem os comandos do host para o convidado.” 

Marvi diz que a Mandiant observou um script Python separado especificando quais comandos executar e em qual máquina convidada executá-los.

A Mandiant disse que estava ciente de menos de 10 organizações onde os agentes de ameaças conseguiram comprometer hipervisores ESXi dessa maneira. Mas espere que mais incidentes apareçam, o fornecedor de segurança alertou em seu relatório: “Embora tenhamos notado que a técnica usada pelo UNC3886 requer um nível mais profundo de compreensão do sistema operacional ESXi e da plataforma de virtualização VMware, prevemos que uma variedade de outros agentes de ameaças usará as informações descritas nesta pesquisa para começar a construir capacidades semelhantes.”

A VMware descreve um VIB como um “coleção de arquivos empacotados em um único arquivo para facilitar a distribuição”. Eles são projetados para ajudar os administradores a gerenciar sistemas virtuais, distribuir binários personalizados e atualizações em todo o ambiente e criar tarefas de inicialização e regras de firewall personalizadas na reinicialização do sistema ESXi.

Nova tática complicada

A VMware designou quatro níveis de aceitação para VIBs: VIBs VMwareCertified que são criados, testados e assinados pela VMware; VIBs VMwareAccepted criados e assinados por parceiros VMware aprovados; VIBs suportados por parceiros de parceiros VMware confiáveis; e VIBs com suporte da comunidade criados por indivíduos ou parceiros fora do programa de parceiros da VMware. Os VIBs com suporte da comunidade não são testados ou suportados pela VMware ou por parceiros.

Quando uma imagem ESXi é criada, ela recebe um desses níveis de aceitação, disse Mandiant. “Quaisquer VIBs adicionados à imagem devem estar no mesmo nível de aceitação ou superior”, disse o fornecedor de segurança. “Isso ajuda a garantir que VIBs não suportados não sejam misturados com VIBs suportados ao criar e manter imagens ESXi.” 

O nível de aceitação mínimo padrão da VMware para um VIB é PartnerSupported. Mas os administradores podem alterar o nível manualmente e forçar um perfil a ignorar os requisitos de nível mínimo de aceitação ao instalar um VIB, disse Mandiant.

Nos incidentes que a Mandiant observou, os invasores parecem ter usado esse fato a seu favor, primeiro criando um VIB no nível CommunitySupport e, em seguida, modificando seu arquivo descritor para fazer parecer que o VIB era PartnerSupported. Eles então usaram o chamado parâmetro de sinalizador de força associado ao uso do VIB para instalar o VIB malicioso nos hipervisores ESXi de destino. Marvi apontou Dark Reading para a VMware quando questionado se o parâmetro force deveria ser considerado uma fraqueza, considerando que oferece aos administradores uma maneira de substituir os requisitos mínimos de aceitação do VIB.

Lapso de segurança da operação?

Uma porta-voz da VMware negou que o problema fosse uma fraqueza. A empresa recomenda o Secure Boot porque desabilita esse comando de força, diz ela. “O invasor precisava ter acesso total ao ESXi para executar o comando force, e uma segunda camada de segurança no Secure Boot é necessária para desabilitar esse comando”, diz ela. 

Ela também observa que existem mecanismos disponíveis que permitem às organizações identificar quando um VIB pode ter sido adulterado. Em uma postagem de blog que a VMWare publicou ao mesmo tempo que o relatório da Mandiant, a VMware identificou os ataques como provavelmente o resultado de deficiências de segurança operacional por parte das organizações de vítimas. A empresa delineou maneiras específicas pelas quais as organizações podem configurar seus ambientes para se proteger contra o uso indevido do VIB e outras ameaças.

A VMware recomenda que as organizações implementem Secure Boot, Trusted Platform Modules e Host Attestation para validar drivers de software e outros componentes. “Quando o Secure Boot estiver ativado, o uso do nível de aceitação 'CommunitySupported' será bloqueado, impedindo que invasores instalem VIBs não assinados e assinados incorretamente (mesmo com o parâmetro –force conforme observado no relatório)”, disse a VMware.

A empresa também disse que as organizações devem implementar patches robustos e práticas de gerenciamento do ciclo de vida e usar tecnologias como o VMware Carbon Black Endpoint e o pacote VMware NSX para fortalecer as cargas de trabalho.

A Mandiant também publicou uma segunda postagem separada no blog em 29 de setembro que detalhava como as organizações podem detectar ameaças como o que eles observaram e como proteger seus ambientes ESXi contra eles. Entre as defesas estão o isolamento de rede, forte gerenciamento de identidade e acesso e práticas adequadas de gerenciamento de serviços.

Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, diz que o ataque demonstra uma técnica muito interessante para os invasores manterem a persistência e expandirem sua presença em um ambiente direcionado. “Parece mais algo que uma ameaça estatal ou patrocinada por um estado com bons recursos usaria, em comparação com o que um grupo APT criminoso comum implantaria”, diz ele.

Parkin diz que as tecnologias VMware podem ser muito robustas e resilientes quando implantadas usando as configurações recomendadas pela empresa e as melhores práticas do setor. “No entanto, as coisas se tornam muito mais desafiadoras quando o agente da ameaça faz login com credenciais administrativas. Como invasor, se você conseguir se enraizar, terá as chaves do reino, por assim dizer.