VMware đã ban hành các biện pháp giảm thiểu khẩn cấp và hướng dẫn vào ngày 29 tháng XNUMX cho các khách hàng sử dụng công nghệ ảo hóa vSphere sau khi Mandiant báo cáo phát hiện một tác nhân đe dọa có trụ sở tại Trung Quốc đang sử dụng một kỹ thuật mới đáng lo ngại để cài đặt nhiều cửa hậu liên tục trên các trình ảo hóa ESXi.
Kỹ thuật mà Mandiant quan sát được liên quan đến tác nhân đe dọa – được theo dõi là UNC3886 – sử dụng Gói cài đặt vSphere (VIB) độc hại để lén đưa phần mềm độc hại của chúng vào hệ thống mục tiêu. Để làm như vậy, những kẻ tấn công yêu cầu các đặc quyền cấp quản trị viên đối với bộ ảo hóa ESXi. Nhưng không có bằng chứng nào cho thấy họ cần khai thác bất kỳ lỗ hổng nào trong các sản phẩm của VMware để triển khai phần mềm độc hại, Mandiant nói.
Nhiều khả năng độc hại
Các cửa hậu, mà Mandiant đã đặt tên cho VIRTUALPITA và VIRTUALPIE, cho phép kẻ tấn công thực hiện một loạt các hoạt động độc hại. Điều này bao gồm việc duy trì quyền truy cập liên tục của quản trị viên vào trình ảo hóa ESXi; gửi các lệnh độc hại đến VM khách thông qua trình ảo hóa; truyền tệp giữa trình ảo hóa ESXi và máy khách; giả mạo dịch vụ khai thác gỗ; và thực thi các lệnh tùy ý giữa các khách VM trên cùng một trình ảo hóa.
Alex Marvi, nhà tư vấn bảo mật tại Mandiant, cho biết: “Khi sử dụng hệ sinh thái phần mềm độc hại, kẻ tấn công có thể truy cập từ xa vào bộ ảo hóa và gửi các lệnh tùy ý sẽ được thực thi trên máy ảo khách”. “Các cửa hậu mà Mandiant quan sát được, VIRTUALPITA và VIRTUALPIE, cho phép kẻ tấn công truy cập tương tác vào chính các trình ảo hóa. Chúng cho phép kẻ tấn công truyền lệnh từ máy chủ này sang máy khách khác.”
Marvi cho biết Mandiant đã quan sát thấy một tập lệnh Python riêng biệt chỉ định lệnh nào sẽ chạy và máy khách nào sẽ chạy chúng trên đó.
Mandiant cho biết họ biết có ít hơn 10 tổ chức mà các tác nhân đe dọa đã tìm cách xâm phạm các bộ ảo hóa ESXi theo cách này. Nhưng dự đoán sẽ có nhiều sự cố xuất hiện hơn, nhà cung cấp bảo mật này đã cảnh báo trong báo cáo của mình: “Mặc dù chúng tôi lưu ý rằng kỹ thuật được UNC3886 sử dụng đòi hỏi mức độ hiểu biết sâu hơn về hệ điều hành ESXi và nền tảng ảo hóa của VMware, chúng tôi dự đoán sẽ có nhiều tác nhân đe dọa khác sẽ sử dụng. thông tin được nêu trong nghiên cứu này để bắt đầu xây dựng các khả năng tương tự.”
VMware mô tả VIB là “bộ sưu tập các tập tin được đóng gói thành một kho lưu trữ duy nhất để tạo điều kiện phân phối.” Chúng được thiết kế để giúp quản trị viên quản lý hệ thống ảo, phân phối các tệp nhị phân và bản cập nhật tùy chỉnh trên toàn môi trường, đồng thời tạo các tác vụ khởi động và quy tắc tường lửa tùy chỉnh khi khởi động lại hệ thống ESXi.
Chiến thuật mới khó khăn
VMware đã chỉ định bốn cái gọi là cấp độ chấp nhận cho VIB: VMwareCertified VIB do VMware tạo, kiểm tra và ký; VMwareAccepted VIB được tạo và ký bởi các đối tác VMware đã được phê duyệt; Các VIB được Đối tác Hỗ trợ từ các đối tác VMware đáng tin cậy; và các VIB được hỗ trợ bởi cộng đồng được tạo bởi các cá nhân hoặc đối tác bên ngoài chương trình đối tác của VMware. Các VIB được Cộng đồng Hỗ trợ không được VMware hoặc đối tác kiểm tra hoặc hỗ trợ.
Mandiant cho biết, khi một hình ảnh ESXi được tạo ra, nó sẽ được chỉ định một trong những mức chấp nhận này. Nhà cung cấp bảo mật cho biết: “Bất kỳ VIB nào được thêm vào hình ảnh đều phải ở cùng mức độ chấp nhận hoặc cao hơn”. “Điều này giúp đảm bảo rằng các VIB không được hỗ trợ không bị trộn lẫn với các VIB được hỗ trợ khi tạo và duy trì hình ảnh ESXi.”
Mức chấp nhận tối thiểu mặc định của VMware đối với VIB là PartnerSupported. Tuy nhiên, quản trị viên có thể thay đổi cấp độ theo cách thủ công và buộc hồ sơ bỏ qua các yêu cầu về mức chấp nhận tối thiểu khi cài đặt VIB, Mandiant cho biết.
Trong các sự cố mà Mandiant quan sát thấy, những kẻ tấn công dường như đã lợi dụng thực tế này để tạo lợi thế cho chúng bằng cách tạo một VIB cấp Hỗ trợ cộng đồng trước tiên và sau đó sửa đổi tệp mô tả của nó để làm cho VIB đó có vẻ như được PartnerSupported. Sau đó, họ sử dụng cái gọi là tham số cờ bắt buộc liên quan đến việc sử dụng VIB để cài đặt VIB độc hại trên các trình ảo hóa ESXi mục tiêu. Marvi đã chỉ Dark Reading cho VMware khi được hỏi liệu tham số force có nên được coi là một điểm yếu hay không vì nó cung cấp cho quản trị viên một cách để ghi đè các yêu cầu chấp nhận VIB tối thiểu.
Hoạt động bảo mật mất hiệu lực?
Người phát ngôn của VMware phủ nhận vấn đề này là một điểm yếu. Cô ấy nói rằng công ty khuyến nghị Khởi động an toàn vì nó vô hiệu hóa lệnh bắt buộc này. Cô nói: “Kẻ tấn công phải có toàn quyền truy cập vào ESXi để chạy lệnh bắt buộc và cần có lớp bảo mật thứ hai trong Secure Boot để vô hiệu hóa lệnh này”.
Cô cũng lưu ý rằng có sẵn các cơ chế cho phép các tổ chức xác định khi nào VIB có thể bị giả mạo. Trong một bài đăng trên blog mà VMWare xuất bản cùng lúc với báo cáo của Mandiant, VMware đã xác định các cuộc tấn công là có khả năng là kết quả của các điểm yếu an ninh hoạt động về phía các tổ chức nạn nhân. Công ty đã vạch ra những cách cụ thể mà các tổ chức có thể định cấu hình môi trường của họ để bảo vệ khỏi việc lạm dụng VIB và các mối đe dọa khác.
VMware khuyến nghị các tổ chức nên triển khai Khởi động an toàn, Mô-đun nền tảng đáng tin cậy và Chứng thực máy chủ để xác thực trình điều khiển phần mềm và các thành phần khác. VMware cho biết: “Khi bật Secure Boot, việc sử dụng mức chấp nhận 'CommunitySupported' sẽ bị chặn, ngăn chặn kẻ tấn công cài đặt các VIB không được ký và được ký không đúng cách (ngay cả với tham số –force như đã ghi trong báo cáo).
Công ty cũng cho biết các tổ chức nên thực hiện các biện pháp quản lý vòng đời và vá lỗi mạnh mẽ, đồng thời sử dụng các công nghệ như VMware Carbon Black Endpoint và bộ VMware NSX để tăng cường khối lượng công việc.
Mandiant cũng đã xuất bản một bài đăng blog thứ hai vào ngày 29 tháng XNUMX trình bày chi tiết cách các tổ chức có thể phát hiện các mối đe dọa giống như cái họ đã quan sát và cách làm cứng môi trường ESXi của họ chống lại chúng. Trong số các biện pháp bảo vệ có sự cô lập mạng, quản lý quyền truy cập và nhận dạng mạnh mẽ cũng như các hoạt động quản lý dịch vụ phù hợp.
Mike Parkin, kỹ sư kỹ thuật cao cấp tại Vulcan Cyber, cho biết cuộc tấn công thể hiện một kỹ thuật rất thú vị để những kẻ tấn công duy trì sự kiên trì và mở rộng sự hiện diện của chúng trong môi trường mục tiêu. Ông nói: “Nó trông giống thứ mà một mối đe dọa được nhà nước hoặc nhà nước tài trợ có nguồn lực tốt sẽ sử dụng, trái ngược với thứ mà một nhóm tội phạm APT thông thường sẽ triển khai”.
Parkin cho biết các công nghệ của VMware có thể rất mạnh mẽ và linh hoạt khi được triển khai bằng cách sử dụng các cấu hình được đề xuất của công ty và các biện pháp thực hành tốt nhất trong ngành. “Tuy nhiên, mọi thứ trở nên khó khăn hơn nhiều khi kẻ đe dọa đăng nhập bằng thông tin quản trị. Là một kẻ tấn công, nếu bạn có thể root được thì bạn sẽ có chìa khóa của vương quốc, có thể nói như vậy.”
