VMware utfärdade nya brådskande åtgärder och vägledning den 29 september för kunder med sin vSphere-virtualiseringsteknik efter att Mandiant rapporterade att han upptäckt en Kina-baserad hotaktör som använder en oroande ny teknik för att installera flera beständiga bakdörrar på ESXi-hypervisorer.
Tekniken som Mandiant observerade innebär att hotaktören – spårad som UNC3886 – använder skadliga vSphere Installation Bundles (VIB) för att smyga in sin skadliga programvara till målsystem. För att göra det krävde angriparna administratörsrättigheter till ESXi-hypervisorn. Men det fanns inga bevis för att de behövde utnyttja någon sårbarhet i VMwares produkter för att distribuera skadlig programvara, sa Mandiant.
Brett utbud av skadliga funktioner
Bakdörrarna, som Mandiant har dubbat VIRTUALPITA och VIRTUALPIE, gör det möjligt för angriparna att utföra en rad skadliga aktiviteter. Detta inkluderar att bibehålla beständig administratörsåtkomst till ESXi hypervisor; skicka skadliga kommandon till gäst-VM via hypervisorn; överföra filer mellan ESXi hypervisor och gästmaskiner; manipulering av loggningstjänster; och exekvera godtyckliga kommandon mellan VM-gäster på samma hypervisor.
"Genom att använda ekosystemet för skadlig programvara är det möjligt för en angripare att fjärråtkomst till en hypervisor och skicka godtyckliga kommandon som kommer att köras på en virtuell gästmaskin", säger Alex Marvi, säkerhetskonsult på Mandiant. "Bakdörrarna som Mandiant observerade, VIRTUALPITA och VIRTUALPIE, tillåter angripare interaktiv åtkomst till själva hypervisorerna. De tillåter angripare att skicka kommandon från värd till gäst.”
Marvi säger att Mandiant observerade ett separat Python-skript som anger vilka kommandon som ska köras och vilken gästmaskin som ska köras dem på.
Mandiant sa att det var medvetet om färre än 10 organisationer där hotaktörerna hade lyckats äventyra ESXi hypervisorer på detta sätt. Men förvänta dig att fler incidenter dyker upp, varnade säkerhetsleverantören i sin rapport: "Medan vi noterade att tekniken som används av UNC3886 kräver en djupare nivå av förståelse för operativsystemet ESXi och VMwares virtualiseringsplattform, förväntar vi oss att en mängd andra hotaktörer kommer att använda informationen som beskrivs i denna forskning för att börja bygga ut liknande förmågor."
VMware beskriver en VIB som en "samling av filer paketeras i ett enda arkiv för att underlätta distributionen.” De är utformade för att hjälpa administratörer att hantera virtuella system, distribuera anpassade binärer och uppdateringar över miljön och skapa startuppgifter och anpassade brandväggsregler vid omstart av ESXi-system.
Knepig ny taktik
VMware har utsett fyra så kallade acceptansnivåer för VIB:er: VMwareCertified VIB:er som är VMware-skapade, testade och signerade; VMwareAccepted VIBs som skapas och signeras av godkända VMware-partners; Partnerstödda VIB:er från betrodda VMware-partners; och gemenskapsstödda VIB:er skapade av individer eller partners utanför VMwares partnerprogram. Community-stödda VIB:er är inte VMware- eller partnertestade eller stöds.
När en ESXi-bild skapas tilldelas den en av dessa acceptansnivåer, sa Mandiant. "Alla VIB:s som läggs till bilden måste vara på samma acceptansnivå eller högre," sa säkerhetsleverantören. "Detta hjälper till att säkerställa att icke-stödda VIB:er inte blandas in med stödda VIB:er när du skapar och underhåller ESXi-bilder."
VMwares standard minimiacceptansnivå för en VIB är PartnerSupported. Men administratörer kan ändra nivån manuellt och tvinga en profil att ignorera minimikraven för acceptansnivå när de installerar en VIB, sa Mandiant.
I de incidenter som Mandiant observerade tycks angriparna ha använt detta faktum till sin fördel genom att först skapa en CommunitySupport-nivå VIB och sedan modifiera dess deskriptorfil för att få det att se ut som om VIB var PartnerSupported. De använde sedan en så kallad force flag-parameter associerad med VIB-användning för att installera den skadliga VIB på mål-ESXi-hypervisorerna. Marvi pekade Dark Reading till VMware på frågan om kraftparametern ska betraktas som en svaghet med tanke på att den ger administratörer ett sätt att åsidosätta minimikraven för VIB-acceptans.
Operation Security Lapse?
En taleskvinna för VMware förnekade att problemet var en svaghet. Företaget rekommenderar Secure Boot eftersom det inaktiverar det här kraftkommandot, säger hon. "Angriparen var tvungen att ha full tillgång till ESXi för att köra force-kommandot, och ett andra lager av säkerhet i Secure Boot är nödvändigt för att inaktivera detta kommando", säger hon.
Hon noterar också att det finns mekanismer som gör det möjligt för organisationer att identifiera när en VIB kan ha manipulerats. I ett blogginlägg som VMWare publicerade samtidigt som Mandiants rapport identifierade VMware attackerna som sannolikt ett resultat av operativa säkerhetsbrister från offerorganisationernas sida. Företaget beskrev specifika sätt som organisationer kan konfigurera sina miljöer för att skydda mot VIB-missbruk och andra hot.
VMware rekommenderar att organisationer implementerar Secure Boot, Trusted Platform Modules och Host Attestation för att validera mjukvarudrivrutiner och andra komponenter. "När Secure Boot är aktiverat kommer användningen av acceptansnivån 'CommunitySupported' att blockeras, vilket förhindrar angripare från att installera osignerade och felaktigt signerade VIB:er (även med parametern –force som anges i rapporten)", sa VMware.
Företaget sa också att organisationer bör implementera robusta patchnings- och livscykelhanteringsmetoder och använda tekniker som dess VMware Carbon Black Endpoint och VMware NSX-svit för att hårdna arbetsbelastningar.
Mandiant publicerade också ett separat andra blogginlägg den 29 september med detaljerad information hur organisationer kan upptäcka hot som den de observerade och hur man härdar sina ESXi-miljöer mot dem. Bland försvaren finns nätverksisolering, stark identitets- och åtkomsthantering och korrekta servicehanteringsmetoder.
Mike Parkin, senior teknisk ingenjör på Vulcan Cyber, säger att attacken visar en mycket intressant teknik för angripare att behålla uthållighet och utöka sin närvaro i en riktad miljö. "Det ser mer ut som något som ett statligt eller statligt sponsrat hot med goda resurser skulle använda, jämfört med vad en vanlig kriminell APT-grupp skulle använda", säger han.
Parkin säger att VMware-tekniker kan vara mycket robusta och motståndskraftiga när de används med hjälp av företagets rekommenderade konfigurationer och branschpraxis. "Men det blir mycket mer utmanande när hotaktören loggar in med administrativa meriter. Som angripare, om du kan få rot har du nycklarna till kungariket, så att säga."
