Новый опасный метод атаки, компрометирующий гипервизоры VMware ESXi

29 сентября VMware выпустила новые срочные меры по смягчению последствий и руководство для клиентов своей технологии виртуализации vSphere после того, как Mandiant сообщила об обнаружении базирующейся в Китае злоумышленника, использующего тревожную новую технику для установки нескольких постоянных бэкдоров на гипервизоры ESXi.

Метод, который наблюдал Mandiant, заключается в том, что субъект угрозы, отслеживаемый как UNC3886, использует вредоносные пакеты установки vSphere (VIB) для проникновения своего вредоносного ПО в целевые системы. Для этого злоумышленникам требовались привилегии уровня администратора для гипервизора ESXi. Но не было никаких доказательств того, что им нужно было использовать какую-либо уязвимость в продуктах VMware для развертывания вредоносного ПО, сказал Мандиант.

Широкий спектр вредоносных возможностей

Бэкдоры, которые Mandiant назвали VIRTUALPITA и VIRTUALPIE., позволяют злоумышленникам выполнять ряд вредоносных действий. Сюда входит постоянный доступ администратора к гипервизору ESXi; отправка вредоносных команд на гостевую ВМ через гипервизор; передача файлов между гипервизором ESXi и гостевыми машинами; вмешательство в службы ведения журналов; и выполнение произвольных команд между гостевыми ВМ на одном и том же гипервизоре.

«Используя экосистему вредоносных программ, злоумышленник может получить удаленный доступ к гипервизору и отправить произвольные команды, которые будут выполняться на гостевой виртуальной машине», — говорит Алекс Марви, консультант по безопасности в Mandiant. «Бэкдоры, обнаруженные Mandiant, VIRTUALPITA и VIRTUALPIE, позволяют злоумышленникам получить интерактивный доступ к самим гипервизорам. Они позволяют злоумышленникам передавать команды от хоста к гостю». 

Марви говорит, что Mandiant наблюдал отдельный скрипт Python, указывающий, какие команды запускать и на какой гостевой машине их запускать.

Mandiant заявила, что ей известно менее 10 организаций, в которых злоумышленникам удалось таким образом скомпрометировать гипервизоры ESXi. Но ожидайте новых инцидентов, предупредил поставщик безопасности в своем отчете: «Хотя мы отметили, что метод, используемый UNC3886, требует более глубокого понимания операционной системы ESXi и платформы виртуализации VMware, мы ожидаем, что множество других злоумышленников будут использовать информацию, изложенную в этом исследовании, чтобы начать создавать аналогичные возможности».

VMware описывает VIB как «коллекция файлов упакованы в единый архив для облегчения распространения». Они предназначены для того, чтобы помочь администраторам управлять виртуальными системами, распространять настраиваемые двоичные файлы и обновления по среде, а также создавать задачи запуска и настраиваемые правила брандмауэра при перезапуске системы ESXi.

Хитрая новая тактика

VMware определила четыре так называемых уровня приемлемости для VIB: VMwareCertified VIB, созданные, протестированные и подписанные VMware; VMwareAccepted VIB, созданные и подписанные утвержденными партнерами VMware; Поддерживаемые партнером VIB от доверенных партнеров VMware; и поддерживаемые сообществом VIB, созданные отдельными лицами или партнерами вне партнерской программы VMware. Поддерживаемые сообществом VIB не тестируются и не поддерживаются VMware или партнерами.

По словам Мандианта, когда создается образ ESXi, ему назначается один из этих уровней приемлемости. «Любые VIB, добавленные в образ, должны иметь тот же уровень приемлемости или выше», — сказал поставщик средств защиты. «Это помогает гарантировать, что неподдерживаемые VIB не смешиваются с поддерживаемыми VIB при создании и обслуживании образов ESXi». 

Минимальный уровень приемлемости VMware по умолчанию для VIB — PartnerSupported. Но администраторы могут изменить уровень вручную и заставить профиль игнорировать требования минимального приемлемого уровня при установке VIB, сказал Мандиант.

В инцидентах, которые наблюдал Mandiant, злоумышленники, по-видимому, использовали этот факт в своих интересах, сначала создав VIB уровня CommunitySupport, а затем изменив его файл дескриптора, чтобы он выглядел как партнерская поддержка VIB. Затем они использовали так называемый параметр принудительного флага, связанный с использованием VIB, для установки вредоносного VIB на целевые гипервизоры ESXi. Марви указал на Dark Reading VMware, когда его спросили, следует ли считать принудительный параметр недостатком, учитывая, что он дает администраторам возможность обойти минимальные требования приемлемости VIB.

Нарушение безопасности операции?

Представитель VMware отрицает, что проблема была слабостью. По ее словам, компания рекомендует безопасную загрузку, потому что она отключает принудительную команду. «Злоумышленник должен был иметь полный доступ к ESXi, чтобы запустить команду force, а для отключения этой команды необходим второй уровень безопасности в Secure Boot», — говорит она. 

Она также отмечает, что существуют механизмы, которые позволяют организациям определять случаи подделки VIB. В сообщении в блоге, опубликованном VMWare одновременно с отчетом Mandiant, VMware определила атаки как вероятно, результат слабых мест операционной безопасности со стороны потерпевших организаций. Компания описала конкретные способы, которыми организации могут настроить свои среды для защиты от неправомерного использования VIB и других угроз.

VMware рекомендует организациям внедрить безопасную загрузку, доверенные платформенные модули и аттестацию хоста для проверки драйверов программного обеспечения и других компонентов. «Когда безопасная загрузка включена, использование уровня принятия «CommunitySupported» будет заблокировано, что не позволит злоумышленникам установить неподписанные или неправильно подписанные VIB (даже с параметром –force, как указано в отчете)», — говорится в сообщении VMware.

Компания также заявила, что организациям следует внедрить надежные методы установки исправлений и управления жизненным циклом, а также использовать такие технологии, как VMware Carbon Black Endpoint и пакет VMware NSX, для усиления рабочих нагрузок.

Mandiant также опубликовала отдельный второй пост в блоге 29 сентября, в котором подробно как организации могут обнаруживать угрозы как тот, который они наблюдали, и как защитить от них свои среды ESXi. Среди средств защиты — сетевая изоляция, надежное управление идентификацией и доступом, а также надлежащие методы управления службами.

Майк Паркин, старший технический инженер Vulcan Cyber, говорит, что атака демонстрирует очень интересный метод, позволяющий злоумышленникам сохранять настойчивость и расширять свое присутствие в целевой среде. «Это больше похоже на то, что использовала бы хорошо обеспеченная ресурсами государственная или спонсируемая государством угроза, а не на то, что могла бы развернуть обычная преступная группа APT», — говорит он.

Паркин говорит, что технологии VMware могут быть очень надежными и отказоустойчивыми при развертывании с использованием рекомендованных компанией конфигураций и лучших отраслевых практик. «Однако все становится намного сложнее, когда злоумышленник входит в систему с правами администратора. Как злоумышленник, если вы можете получить root права, у вас, так сказать, есть ключи от королевства».