【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物

admin 2023年5月19日09:36:24评论32 views字数 5276阅读17分35秒阅读模式
【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物
关键词

勒索软件

安全内参5月18日消息,2020年以来,意图发起“狩猎大型猎物”(BGH)攻击的网络犯罪团伙越来越多地针对VMware ESXi vSphere管理程序,部署专门设计的Linux版本勒索软件

美国安全公司CrowdStrike观察到,这一趋势持续到了2023年第一季度,Alphv、Lockbit和Defray(CrowdStrike内部代号为ALPHA SPIDER、BITWISE SPIDER、SPRITE SPIDER)等勒索软件即服务(RaaS)平台均被用来攻击ESXi。

鉴于ESXi本身设计上不支持第三方代理或反病毒软件,并且VMware在其文档中明确表示不需要反病毒软件,这一趋势尤其值得注意。ESXi是一种广泛使用的虚拟化和管理系统,这使得它对网络犯罪团伙极具吸引力。

ESXi是什么?

ESXi是VMware开发的裸机虚拟机管理器(Type-1类型)。虚拟机管理器是一种管理虚拟机的软件。与运行在传统操作系统上的托管虚拟机管理器(Type-2类型)相比,裸机虚拟机管理器直接运行在专用主机硬件上,性能更佳,主要用于数据中心、云服务等场景。

ESXi系统通常由vCenter管理,vCenter是一个集中的服务器管理工具,可以控制多个ESXi设备。尽管ESXi不是Linux操作系统,但在ESXi命令行程序中可以运行一些Linux编译的ELF二进制文件。

与ESXi平台相关的几个重要的VMware产品包括:

  • ESXi(或vSphere虚拟机管理器):作为服务器,包括虚拟机管理器组件、身份和管理组件以及与服务器硬件相关的资源管理组件;

  • vCenter:身份和管理组件,以及用于一组ESXi服务器的完整资源管理器;

  • ONE Access(或Identity Manager):提供单点登录(SSO)解决方案,用于连接到vCenter或ESXi;

  • Horizon:VMware的全面虚拟架构管理解决方案。

ESXi安全现状

VMware建议:“vSphere虚拟机管理器不需要使用防病毒软件,也不支持使用此类软件。”

除了缺乏ESXi安全工具外,网络犯罪团伙还积极利用了一些漏洞。2023年2月,法国计算机应急响应小组(CERT-FR)报告了一起勒索软件攻击事件,追踪代号为ESXiArgs。该攻击事件针对的是易受CVE-2020-3992或CVE-2021-21974漏洞影响,暴露于互联网的VMware ESXi虚拟机管理器。

这两个漏洞都针对ESXi虚拟机管理器中的OpenSLP服务。CVE-2021-21974允许未经身份验证的相邻网络攻击者在受影响的VMware ESXi实例上执行任意代码,但此前尚未被实际利用。CVE-2020-3992已被在野利用,它允许未经身份验证的对手在管理网络中的ESXi机器上访问端口427,并触发OpenSLP服务中的使用后释放问题,导致远程代码执行。

此前的公开报告还确认了CVE-2019-5544被实际利用,它同样影响了OpenSLP服务,并支持在受影响系统上执行远程代码。

在公开报告的CVE-2020-3992和CVE-2021-21974实际利用案例中,威胁行为者部署了一个名为vmtools.py的Python后门,存放在文件路径/store/packages/;这个文件名和文件路径与一个用户在公开论坛上分享的与当前ESXiArgs活动相关的行程序脚本的内容相匹配。

威胁态势正在恶化

由于在虚拟化领域中占据主导地位,VMware的产品线通常是组织的IT基础设施虚拟化和管理系统的关键组成部分,因此VMware虚拟基础架构产品对攻击者具有很大的吸引力。

越来越多的网络犯罪团伙意识到,缺乏安全工具、接口缺乏充分的网络分段以及被实际利用漏洞使ESXi成为一个诱人的攻击环境。

例如,2023年4月,CrowdStrike发现了一个名为MichaelKors的新的勒索软件即服务程序,为附属团队提供针对Windows和ESXi/Linux系统的勒索软件二进制文件。其他能够针对ESXi环境进行攻击的勒索软件服务平台也在浮出水面,如Nevada勒索软件。

2022年9月末,Mandiant研究人员发现并披露了一个主要针对VMware ESXi和VMware vCenter服务器的新型恶意软件生态系统,它部署为恶意远程管理工具(RAT)。该远程管理工具可在受感染服务器上持久化运行,并与底层虚拟机进行交互、提取敏感信息。

在2022年末,CrowdStrike观察到ALPHA SPIDER使用Cobalt Strike变体对ESXi服务器进行后渗透活动,并使用SystemBC变体通过受感染的vCenter服务器在网络中持久运行。此外,SCATTERED SPIDER利用开源代理工具rsocx持续访问受害者的ESXi服务器。

CrowdStrike评估发现,很多知名网络犯罪团伙在不同行业和地区使用Log4Shell (CVE-2021-44228) 攻击VMware Horizon实例,包括NEMESIS KITTEN、SILENT CHOLLIMA以及PROPHET SPIDER等。

针对虚拟基础架构组件实施攻击具有诸多优势。目标组件通常没有得到足够的安全保护,放大了单次入侵的影响或帮助规避检测和防范机制。VMware产品过去曾受到关键漏洞的影响,攻击者可能会继续针对任何潜在弱点进行攻击。入侵成功通常能获得高价值资源的访问权限。

攻击向量

凭证窃取

对ESXi 虚拟机管理程序最直接的攻击向量是窃取用户凭证。在窃取凭证后,攻击者可以轻松通过服务器的身份验证,根据攻击者的目的推进攻击。如果攻击者获得足够的权限,可以启用和访问SSH控制台,甚至能直接执行任意代码,即使在最新版ESXi上也是如此。

如果被入侵的账户具备访问虚拟机网络管理功能的权限,攻击者可以将虚拟机重新配置为代理,用于访问内部网络。此外,如果被入侵的账户仅提供对一组虚拟机的访问权限,攻击者可以针对影响虚拟化操作系统的配置弱点或漏洞,以侵入目标网络。

一旦权限有限的攻击者成功访问了ESXi服务器,从初始访问到实现实际目标之间,需要权限升级这一关键中间步骤。CVE-2016-7463、CVE-2017-4940和CVE-2020-3955等跨站脚本攻击(XSS)漏洞可以作为欺骗特权用户执行代码的手段进行攻击。例如,CVE-2020-3955首先将恶意载荷嵌入虚拟机属性(例如主机名)中,然后欺骗系统管理员通过VMware管理界面访问这些恶意属性。据目前所知,这些XSS漏洞没有被用于实际攻击。另外,还存在CVE-2021-22043这种权限升级漏洞,它允许具备访问设置权限的用户升级权限;然而,截至本文撰写时,尚无公开可用的针对此漏洞的概念验证(POC)代码或武器化利用代码。CrowdStrike也没有了解到涉及这一特定漏洞的实际攻击活动。

根据行业报道,凭证窃取似乎是攻击者针对ESXi服务器的主要攻击向量。此外,CrowdStrike观察到的案例表明,攻击者通常通过其他手段获取对目标网络的访问权限,然后尝试收集ESXi凭证以达到最终目标,如部署勒索软件;所有这些案例中,攻击者窃取的凭证具备足够的特权,使其可以直接执行任意代码。

虚拟机访问

如上文介绍,虚拟机可以通过两种方式访问:直接访问或通过ESXi管理界面访问。两种方式的凭证窃取过程类似,在此不再重复。

如果可以直接访问虚拟机,则可能存在以下两种情况:

  • 如果虚拟机与内部网络的其余部分没有足够的隔离,它可能作为在网络中横向移动的代理,导致无需对ESXi服务器发起攻击。

  • 如果网络的唯一入口是一个可访问的、正确隔离的虚拟机,攻击者无法对网络进一步渗透,必须直接在ESXi虚拟机管理器级别上运行代码。攻击者必须掌控ESXi 虚拟机管理器,因为管理器到网络中其他机器存在网络路径。为了从虚拟机攻击底层虚拟机管理器,攻击者一般需要利用虚拟机逃逸漏洞。

实现虚拟机逃逸有两种方法:第一种是攻击虚拟机管理器虚拟化组件,比如利用影响虚拟机管理器硬件仿真组件的漏洞。这通常需要掌握虚拟机内核级权限,即需要利用额外的漏洞攻击虚拟机。第二种方法是利用通过网络可达的影响虚拟机管理器的漏洞,并使用虚拟机向虚拟机管理器传输恶意网络数据包。

在大约40个可能通过虚拟化组件实现虚拟机逃逸的漏洞中,只有两个漏洞(CVE-2012-1517和CVE-2012-1516)针对旧版本的ESXi(3.5至4.1)中的虚拟机与虚拟机管理器之间的通信组件。所有其他漏洞都针对模拟设备,如USB(CVE-2022-31705,CVE-2021-2 2041,CVE-2021-22040)、CD-ROM(CVE-2021-22045)或SVGA(CVE-2020-3969,CVE-2020-3962)。

自ESXi 6.5版本引入VMX沙箱以来,利用ESXi虚拟化组件进行虚拟机逃逸攻击至少涉及三个不同的漏洞利用,如下所示:

  1. 攻击者通过第一个漏洞在内核级别上入侵虚拟机。

  2. 然后,攻击者通过第二个漏洞针对虚拟机内的设备,以在VMX进程中执行代码。

  3. 攻击者随后执行第三个漏洞利用,实现VMX沙箱的逃逸。

  4. 最后,攻击者可能需要第四个漏洞利用来提升在虚拟化管理器上的权限。

截至目前,公开的这种漏洞链的概念验证代码不存在,有关这类漏洞的文档也很少。由于此类攻击的复杂性,只有高级的行动者,如国家级对手,可能具备所需的能力。

如何保护虚拟机集群?

CrowdStrike提供了五项重要建议,各组织应该实施这些措施,降低虚拟化管理器被攻击的概率或攻击影响。

  • 避免直接访问ESXi主机。使用vSphere客户端管理vCenter服务器所辖ESXi主机。不要使用VMware主机客户端直接访问受管主机,也不要通过直接控制台用户界面更改受管主机。(注:这是VMware特定的建议。)

  • 如果有必要直接访问ESXi主机,请使用具备多因素验证、经过加固的跳板服务器。ESXi访问应仅限于用于管理目的或特定权限目的的跳板服务器,该服务器具有完整的审计功能,并启用了多因素身份验证。应实施网络分段,确保只能从跳板服务器出发访问ESXi或vCenter的任何SSH、Web UI和API。此外,应禁用SSH访问,对任何启用SSH访问的操作发出警报并进行紧急调查。

  • 确保vCenter不通过SSH或HTTP暴露在互联网上。CrowdStrike观察到对手使用有效帐户或利用RCE漏洞(例如CVE-2021-21985)获取对vCenter的初始访问权限。虽然VMware已经解决了这些漏洞,为了减轻风险,但这些服务不应暴露在互联网上。

  • 确保ESXi数据存储卷定期备份。虚拟机磁盘镜像和快照应每天备份(如果可能,更频繁地备份)到离线存储提供商。勒索软件事件中,安全团队应具备从备份中恢复系统的能力,并防止备份本身被加密。

  • 如果发现或怀疑备份正在进行加密,并且无法访问备份以终止恶意进程,可以物理断开ESXi主机的存储连接,甚至切断ESXi主机的电源。威胁行为者在获取访问权限后,通常会更改根密码,将管理员锁在系统之外。尽管物理断开磁盘连接可能会引发问题,或丢失尚未写入后端存储的数据,但它将阻止勒索软件继续加密VMDK文件。关闭虚拟机客户机将无济于事,因为加密是在虚拟化管理器本身上进行的。ESXi的勒索软件通常具有关闭虚拟机客户机的功能,可以解锁磁盘文件并进行加密。

更多ESXi安全建议可在VMware网站上查阅。

结论

基于下列事实:各组织日益使用虚拟化技术将工作负载和基础架构转移到云环境;VMware在企业虚拟化解决方案领域占据主导地位;安全公司追踪到网络犯罪团伙频繁针对虚拟化产品发动攻击。CrowdStrike认为,攻击者很可能会继续针对基于VMware的虚拟化基础架构进行攻击。

凭据窃取是针对基础架构管理和虚拟化产品的最直接的攻击向量。由于 VMware 产品过去曾受到重要漏洞的影响,攻击者和行业研究人员很可能会继续研究并发现未来的潜在弱点。值得注意的是,VMware于2022年10月15日停止对ESXi 6.5、6.7 和 vSphere 6.5、6.7 的一般支持,基本上不再对这些产品进行安全更新。

因为虚拟化技术通常是组织IT基础架构中至关重要的一部分,定期应用安全更新并进行安全态势审查非常关键,即使这些过程会影响网络服务和组件的可用性也必须落实。

END
阅读推荐

【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物

【安全圈】新型钓鱼服务平台正盯上Microsoft 365云服务企业

【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物

【安全圈】涉及215万人,丰田汽车披露了一起长达10年的数据泄露事件

【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物

【安全圈】黑客入侵企业后台,盗窃3500余张礼品购物卡

【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物

【安全圈】出厂即带恶意软件,全球数百万台安卓手机受到影响

【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物
【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物

安全圈

【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物

原文始发于微信公众号(安全圈):【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月19日09:36:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全圈】VMware被指缺乏安全功能,坐视虚拟化平台逐步沦为网络犯罪猎物http://cn-sec.com/archives/1744463.html

发表评论

匿名网友 填写信息