Stručný prehľad VMware ESXi
Minulý týždeň sa neznámi útočníci začali hromadne zameriavať na hypervízory VMware ESXi pomocou zraniteľnosti CVE-2021-21974, ktorá je ľahko zneužiteľná pre vzdialené spustenie kódu pred autorizáciou. Odborníci z laboratórií Bitdefender Labs tieto pokusy o zneužití sledovali. Na základe našej telemetrie poskytujeme technické poradenstvo, ktoré opisuje tieto útoky a dokumentuje naše vlastné detekcie týchto útokov vo "voľnej prírode". Na základe našich pozorovaní sme pripojili aj odporúčania.
Zraniteľnosť (CVSSv3 skóre 8.8) bola prvýkrát nahlásená v marci 2021 bezpečnostným výskumníkom Lucasom Leongom, a rýchlo sa stala jednou z najzneužívanejších zraniteľností v rokoch 2021/ 2022. Bežnou taktikou moderných šíriteľov hrozieb je vykonávať rozsiahle príležitostné útoky na populárne služby, ako je Apache, Microsoft Exchange alebo VMware, pretože história ukazuje, že aj niekoľko rokov po vydaní záplaty stále existujú tisíce zraniteľných serverov.
Hybridné útoky využívajú tieto príležitosti a kombinujú automatizovanú počiatočnú fázu s následnou manuálnou fázou. V tomto scenári môže byť napadnutá malá spoločnosť alebo dodávateľ súčasťou dodávateľského reťazca oveľa väčšej korporácie. Zatiaľ čo prvý kompromitovaný cieľ môže byť malý, ak má tento cieľ vzťahy s oveľa väčšími cieľmi, expozícia sa exponenciálne zvyšuje. Pre moderných útočníkov často nie je cenné to, čo máte, ale to, koho poznáte a na koho ste napojení.
Obr. 1 - Hybridné útoky začínajú využitím príležitostných zraniteľností
Analýza zraniteľností ESXi
Jadrom tejto zraniteľnosti je protokol zisťovania služieb nazvaný Service Location Protocol (SLP). Služba SLP na hostiteľoch ESXi analyzuje sieťový vstup bez overenia a beží ako root. Kombinácia rozšíreného použitia, nízkej zložitosti útoku, absencia požiadavky na overenie a nulové interakcie užívateľa, robí zo služby SLP lukratívny cieľ.
Ide o vlastnú implementáciu OpenSLP od spoločnosti VMware, čo je projekt s otvoreným zdrojovým kódom, ale s ďalším zabezpečením (a bohužiaľ aj chybami). Protokol umožňuje zisťovať umiestnenie a konfiguráciu sieťových služieb v sieti - predstavte si ho ako virtuálnu indexovú stránku alebo adresár nákupného centra. Zraniteľnosť existuje iba v implementácii SLP spoločnosti VMware. Ostatné projekty založené na projekte OpenSLP zraniteľné nie sú.
Protokol OpenSLP používa port 427 (TCP/UDP), ktorý môže byť sprístupnený na internete. Spoločnosť VMware od roku 2021 odporúča službu OpenSLP zakázať, a systémy ESXi 7.0 U2c a ESXi 8.0 túto službu v predvolenom nastavení zakazujú. Naša analýza ukazuje, že stále existujú desiatky tisíc zraniteľných hostiteľov VMware ESXi exponovaných na internete.
Obrázok 2 - Verzia verejne prístupných serverov VMware ESXi. Zdroj: Zhodan
Jedným z problémov súvisiacich s SLP je odhalenie zraniteľných systémov. Pri vyhľadávaní zraniteľných serverov VMware ESXi s povoleným SLP nie sú získané výsledky preukázateľné. Je to preto, že SLP nevracia žiadne informácie o spustenej službe (banner) bez toho, aby predtým dostal konkrétny vstup. Skenery ako Shodan alebo Censys sa pri identifikácii spustených služieb spoliehajú na bannery. Najlepšou metódou zisťovania je použitie skenerov portov so vstupným dotazom zostaveným tak, aby vyvolal odpoveď z SLP.
Najrýchlejším riešením pre hostiteľov exponovaných na internete je zablokovanie prístupu na port 427. Toto opatrenie spomalí útočníkov, ale malo by byť považované iba za dočasné riešenie, pokiaľ nebudú zraniteľné servery aktualizované - ak potrebujete rýchle riešenie, odporúčame zakázať SLP. Hoci sa verejná diskusia zameriava na porty OpenSLP exponované na internete, existujú aj ďalšie spôsoby, ako túto zraniteľnosť zneužiť. Služba SLP je dostupná všetkým virtuálnym počítačom bežiacim na zraniteľ-nom hostiteľovi ESXi. Kompromitáciou jedného z týchto virtuálnych počítačov môžu útočníci uniknúť
z napadnutého virtuálneho počítača a prevziať hypervízor, aby získali prístup k ďalším virtuálnym počítačom bežiacim na rovnakom serveri.
Ako sme už uviedli v našom technickom odporúčaní týkajúcom sa exploitov Proxy*Hell, mnoho spoločností sa spolieha na riešenie pre zmiernenie následkov, namiesto zaplátania alebo aktualizácie zraniteľných starších systémov. To je pre útočníkov výhodné. Pokiaľ je základná zraniteľnosť stále prítomná, stačí im nájsť spôsob, ako obmedzenie obísť.
Obrázok 3 - Aj keď je port 427 zablokovaný, hostiteľ VMware ESXi zostáva zraniteľný
Čo sa týka skutočného detekovaného payloadu, jedná sa väčšinou o varianty Trojan.Ransom.ESXiArgs.*. Ransomware ESXiArgs sa zameriava na súbory virtuálnych počítačov s príponami *.vmdk, *.vmx, *.vmxf, *.vmsd, *.vmsn, *.vswp, *.vmss, *. nvram a *.vmem. Americká agentúra CISA (Cybersecurity and Infra-structure Security Agency) vydala skript pre obnovu súborov zašifrovaných ransomwarom ESXiArgs.
Je potrebné poznamenať, že konečný payload sa môže líšiť. Zatiaľ čo payloady ransomwaru, ako je ESXiArgs, je možné ľahko odhaliť (koniec koncov ransomwarové útoky sú navrhnuté tak, aby boli deštruktívne), iné payloady môžu byť skrytejšie. Sprostredkovatelia počiatočného prístupu môžu nasadiť vzdialený webshell, zakázať službu SLP, aby zabránili ďalším účastníkom v zneužití rovnakej zraniteľ-nosti a čakať na príležitosť speňažiť napadnutú sieť. Odporúčame vykonať vyhľadávacie cvičenia
na identifikáciu možných skrytých útočníkov.
Ransomwarové skupiny začali používať exotickejšie programovacie jazyky, ako je Go alebo Rust. Jednou z výhod používania týchto jazykov je, že útočníci môžu zacieliť na rôzne operačné systémy – vrátane hypervízorov a virtuálnych počítačov založených na Linuxe. Súčasná vlna útokov na ESXiArgs nie je žiadnym vybrúseným postupom a možno očakávať, že skúsenejšie skupiny sa v tomto roku začnú zameriavať aj na iné operačné systémy.
Záver a odporúčania
Zraniteľnosť v systéme VMware ESXi je jasnou pripomienkou toho, aké je dôležité udržiavať systémy v aktuálnom stave s najnovšími bezpečnostnými záplatami, a zároveň používať silnú ochranu perimetra. Útočníci nemusia pátrať po nových možnostiach zneužitia alebo nových technikách, keď vedia, že mnoho organizácií je zraniteľných staršími možnosťami napadnutia, čiastočne kvôli nedostatočnej správe záplat a riadenie rizík.
Okrem prevencie a kybernetickej hygieny je zásadná viacvrstvová ochrana všetkých koncových bodov, serverov a pracovných záťaží. V našej telemetrii sme identifikovali nasledujúce indikátory kompromitácie, zistené rôznymi modulmi zabezpečenia koncových bodov:
SHA256 Hash | File type |
11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd | ELF |
773d147a031d8ef06ee8ec20b614a4fd9733668efeb2b05aa03e36baaf08 | Python script (.py) |
10c3b6b03a9bf105d264a8e7f30dcab0a6c59a414529b0af0a6bd9f1 | Shell script (.sh) |
5a9448964178a7ad3e8ac509c06762e418280c864c1d3c2c4230422 | Shell script (.sh) |
87961344f13a452fb4aa46dd22a9aa31c5d411b1d8d37bac7a36f9 | Shell script (.sh) |
Implementácia reputácie IP, domény a URL je jednou z najúčinnejších metód, ako zabrániť automatizovanému zneužitiu zraniteľnosti. Podľa analýzy v správe Data Breach Investigations Report 2022 , iba 0,4 % IP, ktoré sa pokúsili o vzdialené spustenie kódu, nebolo zaznamenaných v predchádza-júcom útoku. Blokovanie škodlivých IP adries, domén alebo adries URL na všetkých zariadeniach, vrátane vzdialených koncových bodov a koncových bodov pre prácu z domu, môže byť veľmi účinné.
V neposlednom rade by spoločnosti všetkých veľkostí mali zaviesť funkcie detekcie a reakcie, aby odhalili akúkoľvek podozrivú aktivitu v sieti a minimalizovali dobu pobytu útočníkov v sieti. Senzory GravityZone XDR detekujú podozrivú aktivitu na serveri alebo virtuálnom počítači a upozorňujú bezpečnostné tímy na pokusy o laterálny pohyb alebo nadviazanie externého pripojenia zo strany pôvodcu hrozby. Túto technológiu je možné rozšíriť o kvalitné bezpečnostné operácie a to buď interne, alebo prostredníctvom spravovanej služby, ako je Bitdefender MDR.
Ďalším kľúčovým aspektom útoku je, že útočníci sa zameriavajú na konfiguračné súbory na hostiteľoch ESXi. Systém ako GravityZone Integrity Monitoring identifikuje zmeny vykonané v dôležitých súboroch. To sa robí vyhodnotením rozdielov oproti základnému známemu bezchybnému stavu sledovaných entít. Zavedenie takéhoto riešenia pomôže zmariť schopnosť útočníkov kompromitovať systémy bez toho, aby boli odhalení.
Nakoniec je dôležité mať na pamäti, že najlepšou ochranou proti moderným kybernetickým útokom je viacvrstvová architektúra "defense-in-depth". Bitdefender GravityZone ju zaisťuje tým, že poskytuje prevenciu, ochranu a detekciu a reakciu v jedinom riešení.
Naši experti Vám radi poradia, stačí si rezervovať konzultáciu prostredníctvom nášho formulára.
Hozzászólások