29 вересня VMware випустила термінові нові заходи пом’якшення та вказівки для клієнтів своєї технології віртуалізації vSphere після того, як Mandiant повідомила про виявлення китайського загрозливого актора, який використовує тривожну нову техніку для встановлення кількох постійних бекдорів на гіпервізорах ESXi.
Техніка, яку спостерігав Mandiant, полягає в тому, що суб’єкт загрози — відстежується як UNC3886 — використовує шкідливі інсталяційні пакети vSphere (VIB) для проникнення свого шкідливого програмного забезпечення в цільові системи. Для цього зловмисникам потрібні були права адміністратора для гіпервізора ESXi. Але не було жодних доказів того, що їм потрібно було використовувати будь-яку вразливість у продуктах VMware для розгортання шкідливого програмного забезпечення, сказав Mandiant.
Широкий спектр шкідливих можливостей
Задні двері, які Mandiant охрестив VIRTUALPITA і VIRTUALPIE, дозволяють зловмисникам здійснювати ряд шкідливих дій. Це включає підтримку постійного доступу адміністратора до гіпервізора ESXi; надсилання шкідливих команд до гостьової ВМ через гіпервізор; передача файлів між гіпервізором ESXi і гостьовими машинами; втручання в послуги журналювання; і виконання довільних команд між гостьовими віртуальними машинами на одному гіпервізорі.
«Використовуючи екосистему зловмисного програмного забезпечення, зловмисник може отримати віддалений доступ до гіпервізора та надсилати довільні команди, які виконуватимуться на гостьовій віртуальній машині», — говорить Алекс Марві, консультант із безпеки в Mandiant. «Бекдори, які спостерігав Mandiant, VIRTUALPITA і VIRTUALPIE, дозволяють зловмисникам інтерактивний доступ до самих гіпервізорів. Вони дозволяють зловмисникам передавати команди від хоста до гостя».
Marvi каже, що Mandiant спостерігав окремий сценарій Python, який вказує, які команди виконувати та на якій гостьовій машині їх запускати.
Mandiant повідомила, що відомо про менше ніж 10 організацій, де зловмисникам вдалося скомпрометувати гіпервізори ESXi таким чином. Але очікуйте появи нових інцидентів, попередив постачальник засобів безпеки у своєму звіті: «Хоча ми відзначили, що техніка, яку використовує UNC3886, вимагає глибшого рівня розуміння операційної системи ESXi та платформи віртуалізації VMware, ми очікуємо, що цілий ряд інших учасників загроз використовуватимуть інформацію, викладену в цьому дослідженні, щоб розпочати розбудову подібних можливостей».
VMware описує VIB як «колекція файлів упаковані в єдиний архів для полегшення розповсюдження». Вони розроблені, щоб допомогти адміністраторам керувати віртуальними системами, розповсюджувати власні двійкові файли та оновлення в середовищі, а також створювати завдання запуску та спеціальні правила брандмауера під час перезавантаження системи ESXi.
Нова хитра тактика
VMware визначила чотири так звані рівні прийнятності для VIB: VMwareCertified VIB, створені, перевірені та підписані VMware; VMwareAccepted VIB, створені та підписані затвердженими партнерами VMware; PartnerSupported VIB від надійних партнерів VMware; і підтримувані спільнотою VIB, створені окремими особами або партнерами поза партнерською програмою VMware. VIB, які підтримуються спільнотою, не перевіряються та не підтримуються VMware чи партнерами.
Коли створюється образ ESXi, йому призначається один із цих рівнів прийнятності, сказав Мандіант. «Будь-які VIB, додані до зображення, повинні мати той самий рівень прийнятності або вищий», — сказав постачальник засобів безпеки. «Це допомагає гарантувати, що непідтримувані VIB не змішуються з підтримуваними VIB під час створення та підтримки зображень ESXi».
Мінімальним рівнем прийняття VMware за замовчуванням для VIB є PartnerSupported. Але адміністратори можуть змінити рівень вручну та змусити профіль ігнорувати вимоги до мінімального рівня прийняття під час встановлення VIB, сказав Mandiant.
В інцидентах, які спостерігав Mandiant, зловмисники, схоже, використали цей факт у своїх інтересах, спершу створивши VIB на рівні CommunitySupport, а потім змінивши його файл дескриптора, щоб вийшло так, що VIB підтримує PartnerSupported. Потім вони використали так званий параметр прапора примусу, пов’язаний із використанням VIB, щоб встановити шкідливий VIB на цільових гіпервізорах ESXi. Marvi вказав VMware на Dark Reading, коли його запитали, чи слід вважати параметр force слабким місцем, враховуючи, що він дає адміністраторам спосіб перевизначати мінімальні вимоги до прийняття VIB.
Порушення безпеки операції?
Речниця VMware заперечила, що проблема була слабкою стороною. За її словами, компанія рекомендує Secure Boot, оскільки вона вимикає цю примусову команду. «Зловмисник повинен був мати повний доступ до ESXi, щоб запустити примусову команду, і другий рівень безпеки в Secure Boot необхідний, щоб вимкнути цю команду», — каже вона.
Вона також зазначає, що існують механізми, які дозволять організаціям визначити, коли VIB могли бути підроблені. У дописі в блозі, опублікованому VMWare одночасно зі звітом Mandiant, VMware визначила атаки як ймовірно, це результат недоліків операційної безпеки з боку постраждалих організацій. Компанія окреслила конкретні способи, якими організації можуть налаштувати своє середовище для захисту від неправильного використання VIB та інших загроз.
VMware рекомендує організаціям застосовувати Secure Boot, Trusted Platform Modules і Host Attestation для перевірки програмних драйверів та інших компонентів. «Коли Secure Boot увімкнено, використання рівня прийняття «CommunitySupported» буде заблоковано, запобігаючи встановленню непідписаних і неправильно підписаних VIB (навіть із параметром –force, як зазначено у звіті)», — повідомили у VMware.
Компанія також зазначила, що організації повинні впроваджувати надійні методи виправлення та управління життєвим циклом, а також використовувати такі технології, як VMware Carbon Black Endpoint і пакет VMware NSX, щоб посилити робочі навантаження.
Mandiant також опублікував окрему другу публікацію в блозі 29 вересня, в якій детально описано як організації можуть виявляти загрози як той, який вони спостерігали, і як захистити їхнє середовище ESXi від них. Серед засобів захисту – ізоляція мережі, надійне керування ідентифікацією та доступом, а також належні практики керування службами.
Майк Паркін, старший технічний інженер Vulcan Cyber, каже, що атака демонструє дуже цікаву техніку, за допомогою якої зловмисники можуть зберегти наполегливість і розширити свою присутність у цільовому середовищі. «Це більше схоже на те, що використала б загроза, забезпечена державою або державою, а не те, що розгорнула б звичайна злочинна група APT», — каже він.
Паркін каже, що технології VMware можуть бути дуже надійними та стійкими, якщо їх розгортати з використанням рекомендованих компанією конфігурацій і найкращих галузевих практик. «Однак усе стає набагато складнішим, коли зловмисник входить в систему за допомогою облікових даних адміністратора. Як зловмисник, якщо ви можете отримати root, у вас є ключі до королівства, так би мовити».
