VMware a emis noi măsuri urgente de atenuare și îndrumări pe 29 septembrie pentru clienții tehnologiei sale de virtualizare vSphere, după ce Mandiant a raportat că a detectat un actor de amenințare din China folosind o nouă tehnică îngrijorătoare pentru a instala mai multe backdoors persistente pe hipervizoarele ESXi.
Tehnica observată de Mandiant implică actorul amenințării – urmărit ca UNC3886 – care folosește pachete de instalare vSphere (VIB) rău intenționate pentru a-și introduce programele malware în sistemele țintă. Pentru a face acest lucru, atacatorii au avut nevoie de privilegii la nivel de administrator pentru hypervisorul ESXi. Dar nu exista nicio dovadă că ar trebui să exploateze vreo vulnerabilitate în produsele VMware pentru a implementa malware-ul, a spus Mandiant.
Gamă largă de capabilități rău intenționate
Ușile din spate, care Mandiant a numit VIRTUALPITA și VIRTUALPIE, permit atacatorilor să efectueze o serie de activități rău intenționate. Aceasta include menținerea accesului de administrator persistent la hypervisorul ESXi; trimiterea de comenzi rău intenționate către VM-ul invitat prin hypervisor; transferul de fișiere între hypervisorul ESXi și mașinile invitate; modificarea serviciilor de exploatare forestieră; și executarea comenzilor arbitrare între oaspeții VM pe același hypervisor.
„Folosind ecosistemul malware, este posibil ca un atacator să acceseze de la distanță un hypervisor și să trimită comenzi arbitrare care vor fi executate pe o mașină virtuală invitată”, spune Alex Marvi, consultant de securitate la Mandiant. „Ușile din spate observate de Mandiant, VIRTUALPITA și VIRTUALPIE, permit atacatorilor accesul interactiv la hipervizoarele înșiși. Ele permit atacatorilor să transmită comenzile de la gazdă la oaspete.”
Marvi spune că Mandiant a observat un script Python separat care specifică ce comenzi să ruleze și pe ce mașină oaspete să le ruleze.
Mandiant a spus că cunoaște mai puțin de 10 organizații în care actorii amenințărilor au reușit să compromită hipervizorii ESXi în acest mod. Dar așteaptă-te să apară mai multe incidente, a avertizat furnizorul de securitate în raportul său: „Deși am remarcat că tehnica folosită de UNC3886 necesită un nivel mai profund de înțelegere a sistemului de operare ESXi și a platformei de virtualizare a VMware, anticipăm că vor folosi o varietate de alți actori amenințări. informațiile prezentate în această cercetare pentru a începe să construiască capacități similare.”
VMware descrie un VIB ca un „colectare de dosare ambalate într-o singură arhivă pentru a facilita distribuția.” Acestea sunt concepute pentru a ajuta administratorii să gestioneze sisteme virtuale, să distribuie binare personalizate și actualizări în mediu și să creeze sarcini de pornire și reguli de firewall personalizate la repornirea sistemului ESXi.
Noua tactică complicată
VMware a desemnat patru așa-numitele niveluri de acceptare pentru VIB-uri: VIB-uri certificate VMware care sunt create, testate și semnate VMware; VIB-uri acceptate VMware care sunt create și semnate de partenerii VMware aprobați; VIB-uri suportate de parteneri de la parteneri VMware de încredere; și VIB-uri suportate de comunitate create de persoane sau parteneri din afara programului de parteneriat VMware. VIB-urile suportate de comunitate nu sunt testate sau acceptate de VMware sau de parteneri.
Când este creată o imagine ESXi, i se atribuie unul dintre aceste niveluri de acceptare, a spus Mandiant. „Orice VIB adăugat la imagine trebuie să fie la același nivel de acceptare sau mai mare”, a spus furnizorul de securitate. „Acest lucru vă ajută să vă asigurați că VIB-urile neacceptate nu se amestecă cu VIB-urile acceptate atunci când se creează și se întrețin imagini ESXi.”
Nivelul minim de acceptare implicit al VMware pentru un VIB este PartnerSupported. Dar administratorii pot schimba manual nivelul și pot forța un profil să ignore cerințele privind nivelul minim de acceptare atunci când instalează un VIB, a spus Mandiant.
În incidentele pe care Mandiant le-a observat, atacatorii par să fi folosit acest fapt în avantajul lor, creând mai întâi un VIB la nivel de CommunitySupport și apoi modificându-i fișierul descriptor pentru a face să pară că VIB-ul era PartnerSupported. Apoi au folosit un așa-numit parametru de semnalizare de forță asociat cu utilizarea VIB pentru a instala VIB rău intenționat pe hipervizoarele ESXi țintă. Marvi a indicat Dark Reading către VMware când a fost întrebat dacă parametrul de forță ar trebui considerat o slăbiciune, având în vedere că oferă administratorilor o modalitate de a depăși cerințele minime de acceptare VIB.
Operațiunea Securitate Lapsa?
O purtătoare de cuvânt VMware a negat că problema este o slăbiciune. Compania recomandă Secure Boot deoarece dezactivează această comandă de forță, spune ea. „Atacatorul trebuia să aibă acces deplin la ESXi pentru a rula comanda forțată, iar un al doilea strat de securitate în Secure Boot este necesar pentru a dezactiva această comandă”, spune ea.
Ea observă, de asemenea, că sunt disponibile mecanisme care ar permite organizațiilor să identifice când un VIB ar fi putut fi manipulat. Într-o postare pe blog pe care VMWare a publicat-o în același timp cu raportul lui Mandiant, VMware a identificat atacurile ca fiind probabil ca rezultat al deficiențelor de securitate operațională din partea organizaţiilor victimelor. Compania a subliniat modalități specifice prin care organizațiile își pot configura mediile pentru a se proteja împotriva utilizării abuzive VIB și a altor amenințări.
VMware recomandă organizațiilor să implementeze Secure Boot, Trusted Platform Modules și Host Attestation pentru a valida driverele software și alte componente. „Când Secure Boot este activată, utilizarea nivelului de acceptare „CommunitySupported” va fi blocată, împiedicând atacatorii să instaleze VIB-uri nesemnate și semnate necorespunzător (chiar și cu parametrul –force, așa cum este menționat în raport)”, a spus VMware.
Compania a mai spus că organizațiile ar trebui să implementeze practici solide de corecție și de gestionare a ciclului de viață și să utilizeze tehnologii precum VMware Carbon Black Endpoint și suita VMware NSX pentru a întări încărcăturile de lucru.
Mandiant a publicat, de asemenea, o a doua postare separată pe blog pe 29 septembrie, care detaliază modul în care organizațiile pot detecta amenințările precum cel pe care l-au observat și cum să-și întărească mediile ESXi împotriva lor. Printre apărări se numără izolarea rețelei, managementul puternic al identității și al accesului și practicile adecvate de gestionare a serviciilor.
Mike Parkin, inginer tehnic senior la Vulcan Cyber, spune că atacul demonstrează o tehnică foarte interesantă pentru ca atacatorii să-și păstreze persistența și să-și extindă prezența într-un mediu vizat. „Se pare mai degrabă ceva ce ar folosi o amenințare bine dotată de stat sau sponsorizată de stat, față de ceea ce ar desfășura un grup criminal comun APT”, spune el.
Parkin spune că tehnologiile VMware pot fi foarte robuste și rezistente atunci când sunt implementate folosind configurațiile recomandate de companie și cele mai bune practici din industrie. „Cu toate acestea, lucrurile devin mult mai dificile atunci când actorul amenințării se conectează cu acreditări administrative. Ca atacator, dacă poți obține root, ai cheile regatului, ca să spunem așa.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
