Mandiant, Çin merkezli bir tehdit aktörünün ESXi hipervizörlerine birden çok kalıcı arka kapı kurmak için rahatsız edici yeni bir teknik kullandığını tespit etmesinin ardından, VMware, 29 Eylül'de vSphere sanallaştırma teknolojisinin müşterileri için acil yeni hafifletme önlemleri ve kılavuz yayınladı.
Mandiant'ın gözlemlediği teknik, UNC3886 olarak takip edilen tehdit aktörünün kötü amaçlı vSphere Kurulum Paketlerini (VIB'ler) kullanarak kötü amaçlı yazılımlarını hedef sistemlere gizlice sokmasını içeriyor. Saldırganların bunu yapabilmek için ESXi hipervizöründe yönetici düzeyinde ayrıcalıklara ihtiyacı vardı. Ancak Mandiant, kötü amaçlı yazılımı dağıtmak için VMware ürünlerindeki herhangi bir güvenlik açığından yararlanmaları gerektiğine dair hiçbir kanıt bulunmadığını söyledi.
Çok Çeşitli Kötü Amaçlı Yetenekler
Arka kapılar hangi Mandiant, VIRTUALPITA ve VIRTUALPIE olarak adlandırdı, saldırganların bir dizi kötü amaçlı etkinlik gerçekleştirmesini sağlar. Bu, ESXi hipervizörüne kalıcı yönetici erişimi sağlamayı içerir; hiper yönetici aracılığıyla konuk VM'ye kötü amaçlı komutlar göndermek; ESXi hiper yönetici ve konuk makineler arasında dosya aktarımı; günlük hizmetlerinde kurcalama; ve aynı hipervizörde VM konukları arasında isteğe bağlı komutların yürütülmesi.
Mandiant'ta güvenlik danışmanı olan Alex Marvi, "Kötü amaçlı yazılım ekosistemini kullanarak, bir saldırganın bir hipervizöre uzaktan erişmesi ve konuk sanal makinede yürütülecek rastgele komutlar göndermesi mümkündür" diyor. Mandiant'ın gözlemlediği arka kapılar, VIRTUALPITA ve VIRTUALPIE, saldırganların hipervizörlere etkileşimli olarak erişmesine olanak tanıyor. Saldırganların komutları ev sahibinden misafire aktarmasına izin veriyorlar."
Marvi, Mandiant'ın hangi komutların çalıştırılacağını ve hangi konuk makinede çalıştırılacağını belirten ayrı bir Python betiği gözlemlediğini söylüyor.
Mandiant, tehdit aktörlerinin ESXi hipervizörlerini bu şekilde tehlikeye atmayı başardığı 10'dan az kuruluşun farkında olduğunu söyledi. Ancak güvenlik sağlayıcısı raporunda daha fazla olayın ortaya çıkmasını beklediğimiz uyarısında bulundu: "UNC3886 tarafından kullanılan tekniğin, ESXi işletim sistemi ve VMware sanallaştırma platformu hakkında daha derin bir anlayış gerektirdiğini belirtmiş olsak da, diğer çeşitli tehdit aktörlerinin de bu tekniği kullanacağını tahmin ediyoruz." Benzer yetenekleri geliştirmeye başlamak için bu araştırmada özetlenen bilgiler.
VMware, VIB'yi "dosyaların toplanması Dağıtımı kolaylaştırmak için tek bir arşivde paketlendi.” Yöneticilerin sanal sistemleri yönetmesine, özel ikili dosyaları ve güncellemeleri ortam genelinde dağıtmasına ve ESXi sistemi yeniden başlatıldığında başlangıç görevleri ve özel güvenlik duvarı kuralları oluşturmasına yardımcı olmak için tasarlanmıştır.
Zor Yeni Taktik
VMware, VIB'ler için dört sözde kabul düzeyi belirlemiştir: VMware tarafından oluşturulan, test edilen ve imzalanan VMwareCertified VIB'ler; Onaylı VMware ortakları tarafından oluşturulan ve imzalanan VMwareAccepted VIB'ler; Güvenilir VMware iş ortaklarından PartnerSupported VIB'ler; ve VMware iş ortağı programı dışındaki kişiler veya iş ortakları tarafından oluşturulan CommunitySupported VIB'ler. CommunitySupported VIB'ler VMware veya iş ortakları tarafından test edilmemiştir veya desteklenmemiştir.
Mandiant, bir ESXi görüntüsü oluşturulduğunda bu kabul seviyelerinden birine atandığını söyledi. Güvenlik sağlayıcısı, "Görüntüye eklenen tüm VIB'ler aynı kabul düzeyinde veya daha yüksek olmalıdır" dedi. "Bu, ESXi görüntüleri oluştururken ve korurken desteklenmeyen VIB'lerin desteklenen VIB'lerle karışmamasını sağlamaya yardımcı oluyor."
VMware'in VIB için varsayılan minimum kabul düzeyi PartnerSupported'dır. Ancak Mandiant, yöneticilerin seviyeyi manuel olarak değiştirebileceğini ve bir profili VIB kurarken minimum kabul seviyesi gereksinimlerini göz ardı etmeye zorlayabileceğini söyledi.
Mandiant'ın gözlemlediği olaylarda, saldırganların önce CommunitySupport düzeyinde bir VIB oluşturarak ve ardından tanımlayıcı dosyasını VIB'nin PartnerSupported olduğunu gösterecek şekilde değiştirerek bu gerçeği kendi avantajlarına kullandıkları görülüyor. Ardından, kötü amaçlı VIB'yi hedef ESXi hipervizörlerine yüklemek için VIB kullanımıyla ilişkili sözde bir kuvvet işareti parametresi kullandılar. Marvi, yöneticilere minimum VIB kabul gereksinimlerini geçersiz kılmak için bir yol sağladığı düşünüldüğünde, force parametresinin bir zayıflık olarak kabul edilip edilmeyeceği sorulduğunda, Dark Reading'i VMware'e işaret etti.
Operasyon Güvenlik Aşımı?
VMware sözcüsü, sorunun bir zayıflık olduğunu reddetti. Şirketin Güvenli Önyükleme'yi önerdiğini çünkü bu zorlama komutunu devre dışı bıraktığını söylüyor. "Saldırganın, zorla komutunu çalıştırabilmesi için ESXi'ye tam erişime sahip olması gerekiyordu ve bu komutu devre dışı bırakmak için Güvenli Önyüklemede ikinci bir güvenlik katmanı gerekli" diyor.
Ayrıca kuruluşların VIB'ye ne zaman müdahale edilmiş olabileceğini tespit etmelerine olanak sağlayacak mekanizmaların mevcut olduğunu da belirtiyor. VMWare'in Mandiant'ın raporuyla aynı zamanda yayınladığı bir blog yazısında VMware, saldırıları şu şekilde tanımladı: muhtemelen operasyonel güvenlik zayıflıklarının sonucu mağdur örgütler adına. Şirket, kuruluşların ortamlarını VIB'nin kötüye kullanımına ve diğer tehditlere karşı koruma sağlayacak şekilde yapılandırabileceği belirli yolları özetledi.
VMware, kuruluşların yazılım sürücülerini ve diğer bileşenleri doğrulamak için Güvenli Önyükleme, Güvenilir Platform Modülleri ve Ana Bilgisayar Onaylama uygulamalarını uygulamasını önerir. VMware, "Güvenli Önyükleme etkinleştirildiğinde, 'Topluluk Destekli' kabul düzeyinin kullanımı engellenecek ve saldırganların imzasız ve hatalı şekilde imzalanmış VIB'leri (raporda belirtildiği gibi –force parametresi olsa bile) kurması önlenecek" dedi.
Şirket ayrıca, kuruluşların iş yüklerini güçlendirmek için sağlam yama ve yaşam döngüsü yönetimi uygulamalarını uygulamaları ve VMware Carbon Black Endpoint ve VMware NSX paketi gibi teknolojileri kullanması gerektiğini söyledi.
Mandiant ayrıca 29 Eylül'de ayrıntılı bir ikinci blog gönderisi yayınladı. kuruluşlar tehditleri nasıl tespit edebilir? gözlemledikleri gibi ve ESXi ortamlarını onlara karşı nasıl güçlendireceklerini. Savunmalar arasında ağ izolasyonu, güçlü kimlik ve erişim yönetimi ve uygun hizmet yönetimi uygulamaları yer alır.
Vulcan Cyber'ın kıdemli teknik mühendisi Mike Parkin, saldırının, saldırganların kalıcılığını korumaları ve hedeflenen ortamda varlıklarını genişletmeleri için çok ilginç bir teknik gösterdiğini söylüyor. "Bu, sıradan bir suç APT grubunun konuşlandıracağından çok, iyi kaynaklara sahip devlet veya devlet destekli bir tehdidin kullanacağı bir şeye benziyor" diyor.
Parkin, VMware teknolojilerinin, şirketin önerilen yapılandırmaları ve sektördeki en iyi uygulamaları kullanılarak dağıtıldığında çok sağlam ve dayanıklı olabileceğini söylüyor. “Ancak tehdit aktörü yönetici kimlik bilgileriyle giriş yaptığında işler çok daha zorlaşıyor. Bir saldırgan olarak, eğer kök salabilirseniz, tabiri caizse krallığın anahtarlarına sahip olursunuz."
