เทคนิคการโจมตีใหม่ที่เป็นอันตรายซึ่งประนีประนอม VMware ESXi Hypervisors

VMware ออกมาตรการลดผลกระทบและคำแนะนำใหม่อย่างเร่งด่วนในวันที่ 29 กันยายน สำหรับลูกค้าของเทคโนโลยี vSphere virtualization หลังจาก Mandiant รายงานว่าตรวจพบผู้ก่อภัยคุกคามในจีนโดยใช้เทคนิคใหม่ที่สร้างปัญหาในการติดตั้งแบ็คดอร์ถาวรหลายตัวบนไฮเปอร์ไวเซอร์ ESXi

เทคนิคที่ Mandiant สังเกตเห็นนั้นเกี่ยวข้องกับผู้คุกคามซึ่งติดตามเป็น UNC3886 โดยใช้ vSphere Installation Bundles (VIBs) ที่เป็นอันตรายเพื่อแอบมัลแวร์ไปยังระบบเป้าหมาย ในการทำเช่นนั้น ผู้โจมตีต้องการสิทธิ์ระดับผู้ดูแลระบบในไฮเปอร์ไวเซอร์ ESXi แต่ไม่มีหลักฐานว่าพวกเขาจำเป็นต้องใช้ประโยชน์จากช่องโหว่ใด ๆ ในผลิตภัณฑ์ของ VMware เพื่อติดตั้งมัลแวร์ Mandiant กล่าว

ความสามารถที่เป็นอันตรายที่หลากหลาย

ประตูหลังซึ่ง Mandiant ได้ขนานนาม VIRTUALPITA และ VIRTUALPIEช่วยให้ผู้โจมตีสามารถดำเนินกิจกรรมที่เป็นอันตรายได้หลากหลาย ซึ่งรวมถึงการรักษาการเข้าถึงแบบถาวรของผู้ดูแลระบบไปยังไฮเปอร์ไวเซอร์ ESXi; ส่งคำสั่งที่เป็นอันตรายไปยัง Guest VM ผ่านไฮเปอร์ไวเซอร์ การถ่ายโอนไฟล์ระหว่างไฮเปอร์ไวเซอร์ ESXi และเครื่องเกสต์ การยุ่งเกี่ยวกับบริการตัดไม้ และดำเนินการคำสั่งโดยพลการระหว่างแขก VM บนไฮเปอร์ไวเซอร์เดียวกัน

Alex Marvi ที่ปรึกษาด้านความปลอดภัยของ Mandiant กล่าวว่า “การใช้ระบบนิเวศของมัลแวร์ทำให้ผู้โจมตีสามารถเข้าถึงไฮเปอร์ไวเซอร์จากระยะไกลและส่งคำสั่งโดยอำเภอใจที่จะถูกดำเนินการบนเครื่องเสมือนแขก” “ประตูหลังที่ Mandiant สังเกตเห็นคือ VIRTUALPITA และ VIRTUALPIE ช่วยให้ผู้โจมตีสามารถเข้าถึงไฮเปอร์ไวเซอร์แบบโต้ตอบได้ พวกเขาอนุญาตให้ผู้โจมตีสามารถส่งคำสั่งจากโฮสต์ไปยังแขกได้” 

Marvi กล่าวว่า Mandiant สังเกตสคริปต์ Python แยกต่างหากซึ่งระบุว่าคำสั่งใดที่จะรันและเครื่องแขกใดที่จะรัน

Mandiant กล่าวว่าทราบว่ามีองค์กรน้อยกว่า 10 แห่งที่ผู้คุกคามจัดการเพื่อประนีประนอมไฮเปอร์ไวเซอร์ ESXi ในลักษณะนี้ แต่คาดว่าจะมีเหตุการณ์เกิดขึ้นอีก ผู้จำหน่ายความปลอดภัยเตือนในรายงาน: “ในขณะที่เราสังเกตเห็นว่าเทคนิคที่ใช้โดย UNC3886 นั้นต้องการความเข้าใจในระดับที่ลึกกว่าของระบบปฏิบัติการ ESXi และแพลตฟอร์มเวอร์ชวลไลเซชันของ VMware เราคาดการณ์ว่าตัวการคุกคามอื่นๆ จะใช้ ข้อมูลที่ระบุไว้ในงานวิจัยนี้เพื่อเริ่มสร้างความสามารถที่คล้ายคลึงกัน”

VMware อธิบาย VIB ว่าเป็น “การรวบรวมไฟล์ รวมเป็นไฟล์เก็บถาวรเดียวเพื่ออำนวยความสะดวกในการแจกจ่าย” ได้รับการออกแบบมาเพื่อช่วยผู้ดูแลระบบในการจัดการระบบเสมือน แจกจ่ายไบนารีที่กำหนดเองและการอัปเดตทั่วทั้งสภาพแวดล้อม และสร้างงานเริ่มต้นและกฎไฟร์วอลล์ที่กำหนดเองในการรีสตาร์ทระบบ ESXi

กลยุทธ์ใหม่ที่ยุ่งยาก

VMware ได้กำหนดระดับการยอมรับสี่ระดับสำหรับ VIB: VMwareCertified VIB ที่ VMware สร้าง ทดสอบ และลงนาม; VMwareAccepted VIB ที่สร้างและลงนามโดยพันธมิตร VMware ที่ได้รับอนุมัติ PartnerSupported VIBs จากพันธมิตร VMware ที่เชื่อถือได้ และ VIB ที่สนับสนุนโดยชุมชนที่สร้างขึ้นโดยบุคคลหรือพันธมิตรภายนอกโปรแกรมพันธมิตร VMware VIB ที่สนับสนุนโดยชุมชนไม่ได้ผ่านการทดสอบหรือสนับสนุนโดย VMware หรือคู่ค้า

เมื่ออิมเมจ ESXi ถูกสร้างขึ้น จะมีการกำหนดระดับการยอมรับระดับใดระดับหนึ่งเหล่านี้ Mandiant กล่าว “VIBs ใดๆ ที่เพิ่มเข้าไปในภาพจะต้องอยู่ในระดับการยอมรับเดียวกันหรือสูงกว่า” ผู้จำหน่ายระบบรักษาความปลอดภัยกล่าว “สิ่งนี้ช่วยให้แน่ใจว่า VIB ที่ไม่รองรับจะไม่ปะปนกับ VIB ที่รองรับเมื่อสร้างและบำรุงรักษาอิมเมจ ESXi” 

ระดับการยอมรับขั้นต่ำเริ่มต้นของ VMware สำหรับ VIB คือ PartnerSupported แต่ผู้ดูแลระบบสามารถเปลี่ยนระดับได้ด้วยตนเองและบังคับให้โปรไฟล์ละเว้นข้อกำหนดระดับการยอมรับขั้นต่ำเมื่อติดตั้ง VIB Mandiant กล่าว

ในเหตุการณ์ที่ Mandiant สังเกตเห็น ผู้โจมตีดูเหมือนจะใช้ข้อเท็จจริงนี้ให้เป็นประโยชน์โดยสร้าง VIB ระดับ CommunitySupport ก่อน จากนั้นแก้ไขไฟล์คำอธิบายเพื่อให้ดูเหมือนว่า VIB ได้รับการสนับสนุนโดย Partner จากนั้นพวกเขาใช้พารามิเตอร์ที่เรียกว่าค่าสถานะบังคับที่เกี่ยวข้องกับการใช้ VIB เพื่อติดตั้ง VIB ที่เป็นอันตรายบนไฮเปอร์ไวเซอร์ ESXi เป้าหมาย Marvi ชี้ให้ Dark Reading ไปที่ VMware เมื่อถูกถามว่าควรพิจารณาพารามิเตอร์ force เป็นจุดอ่อนหรือไม่ เมื่อพิจารณาว่าพารามิเตอร์นี้ช่วยให้ผู้ดูแลระบบสามารถแทนที่ข้อกำหนดการยอมรับ VIB ขั้นต่ำได้

การรักษาความปลอดภัยการทำงานล่วงเลย?

โฆษกหญิงของ VMware ปฏิเสธว่าปัญหานี้ไม่ใช่จุดอ่อน บริษัทแนะนำ Secure Boot เนื่องจากปิดใช้งานคำสั่งบังคับนี้ เธอกล่าว “ผู้โจมตีต้องเข้าถึง ESXi ได้อย่างเต็มที่เพื่อเรียกใช้คำสั่งบังคับ และจำเป็นต้องมีการรักษาความปลอดภัยชั้นที่สองใน Secure Boot เพื่อปิดใช้งานคำสั่งนี้” เธอกล่าว 

เธอยังตั้งข้อสังเกตว่ามีกลไกที่จะช่วยให้องค์กรสามารถระบุได้ว่าเมื่อใดที่ VIB อาจถูกดัดแปลง ในบล็อกโพสต์ที่ VMWare เผยแพร่ในช่วงเวลาเดียวกับรายงานของ Mandiant VMware ระบุว่าการโจมตีดังกล่าวเป็น น่าจะเป็นผลมาจากจุดอ่อนด้านความปลอดภัยในการปฏิบัติงาน ในส่วนขององค์กรผู้เสียหาย บริษัทระบุแนวทางเฉพาะที่องค์กรสามารถกำหนดค่าสภาพแวดล้อมเพื่อป้องกันการใช้ VIB ในทางที่ผิดและภัยคุกคามอื่นๆ

VMware แนะนำให้องค์กรใช้ Secure Boot, Trusted Platform Modules และ Host Attestation เพื่อตรวจสอบไดรเวอร์ซอฟต์แวร์และส่วนประกอบอื่นๆ “เมื่อเปิดใช้งาน Secure Boot การใช้ระดับการยอมรับ 'CommunitySupported' จะถูกบล็อก ป้องกันผู้โจมตีจากการติดตั้ง VIB ที่ไม่ได้ลงนามและลงนามไม่ถูกต้อง (แม้จะมีพารามิเตอร์ –force ตามที่ระบุไว้ในรายงาน)” VMware กล่าว

บริษัทยังกล่าวอีกว่าองค์กรต่างๆ ควรใช้แพตช์ที่มีประสิทธิภาพและแนวปฏิบัติในการจัดการวงจรชีวิต และใช้เทคโนโลยี เช่น VMware Carbon Black Endpoint และ VMware NSX suite เพื่อเพิ่มความแข็งแกร่งให้กับเวิร์กโหลด

Mandiant ยังเผยแพร่โพสต์บล็อกที่สองแยกต่างหากเมื่อวันที่ 29 กันยายนซึ่งมีรายละเอียด องค์กรสามารถตรวจจับภัยคุกคามได้อย่างไร เช่นเดียวกับที่พวกเขาสังเกตเห็นและวิธีการทำให้สภาพแวดล้อม ESXi แข็งกระด้างเมื่อเทียบกับพวกเขา ท่ามกลางการป้องกัน ได้แก่ การแยกเครือข่าย การจัดการตัวตนและการเข้าถึงที่แข็งแกร่ง และแนวทางปฏิบัติในการจัดการบริการที่เหมาะสม

Mike Parkin วิศวกรด้านเทคนิคอาวุโสของ Vulcan Cyber ​​กล่าวว่าการโจมตีดังกล่าวแสดงให้เห็นถึงเทคนิคที่น่าสนใจมากสำหรับผู้โจมตีในการรักษาความคงอยู่และขยายการแสดงตนในสภาพแวดล้อมที่เป็นเป้าหมาย “ดูเหมือนว่าสิ่งที่รัฐหรือภัยคุกคามที่ได้รับการสนับสนุนจากรัฐจะใช้ทรัพยากรอย่างดี เมื่อเทียบกับสิ่งที่กลุ่ม APT อาชญากรทั่วไปจะใช้” เขากล่าว

Parkin กล่าวว่าเทคโนโลยี VMware สามารถแข็งแกร่งและยืดหยุ่นได้อย่างมากเมื่อใช้งานโดยใช้การกำหนดค่าที่แนะนำของบริษัทและแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรม “อย่างไรก็ตาม สิ่งต่าง ๆ จะท้าทายมากขึ้นเมื่อผู้คุกคามเข้าสู่ระบบด้วยข้อมูลประจำตัวของผู้ดูแลระบบ ในฐานะผู้โจมตี หากคุณหยั่งรากได้ คุณก็มีกุญแจสู่อาณาจักรแล้ว”