前情回顾·VMware安全危机
安全内参5月18日消息,2020年以来,意图发起“狩猎大型猎物”(BGH)攻击的网络犯罪团伙越来越多地针对VMware ESXi vSphere管理程序,部署专门设计的Linux版本勒索软件。
美国安全公司CrowdStrike观察到,这一趋势持续到了2023年第一季度,Alphv、Lockbit和Defray(CrowdStrike内部代号为ALPHA SPIDER、BITWISE SPIDER、SPRITE SPIDER)等勒索软件即服务(RaaS)平台均被用来攻击ESXi。
鉴于ESXi本身设计上不支持第三方代理或反病毒软件,并且VMware在其文档中明确表示不需要反病毒软件,这一趋势尤其值得注意。ESXi是一种广泛使用的虚拟化和管理系统,这使得它对网络犯罪团伙极具吸引力。
ESXi是什么?
ESXi是VMware开发的裸机虚拟机管理器(Type-1类型)。虚拟机管理器是一种管理虚拟机的软件。与运行在传统操作系统上的托管虚拟机管理器(Type-2类型)相比,裸机虚拟机管理器直接运行在专用主机硬件上,性能更佳,主要用于数据中心、云服务等场景。
ESXi系统通常由vCenter管理,vCenter是一个集中的服务器管理工具,可以控制多个ESXi设备。尽管ESXi不是Linux操作系统,但在ESXi命令行程序中可以运行一些Linux编译的ELF二进制文件。
与ESXi平台相关的几个重要的VMware产品包括:
ESXi(或vSphere虚拟机管理器):作为服务器,包括虚拟机管理器组件、身份和管理组件以及与服务器硬件相关的资源管理组件;
vCenter:身份和管理组件,以及用于一组ESXi服务器的完整资源管理器;
ONE Access(或Identity Manager):提供单点登录(SSO)解决方案,用于连接到vCenter或ESXi;
Horizon:VMware的全面虚拟架构管理解决方案。
ESXi安全现状
VMware建议:“vSphere虚拟机管理器不需要使用防病毒软件,也不支持使用此类软件。”
除了缺乏ESXi安全工具外,网络犯罪团伙还积极利用了一些漏洞。2023年2月,法国计算机应急响应小组(CERT-FR)报告了一起勒索软件攻击事件,追踪代号为ESXiArgs。该攻击事件针对的是易受CVE-2020-3992或CVE-2021-21974漏洞影响,暴露于互联网的VMware ESXi虚拟机管理器。
这两个漏洞都针对ESXi虚拟机管理器中的OpenSLP服务。CVE-2021-21974允许未经身份验证的相邻网络攻击者在受影响的VMware ESXi实例上执行任意代码,但此前尚未被实际利用。CVE-2020-3992已被在野利用,它允许未经身份验证的对手在管理网络中的ESXi机器上访问端口427,并触发OpenSLP服务中的使用后释放问题,导致远程代码执行。
此前的公开报告还确认了CVE-2019-5544被实际利用,它同样影响了OpenSLP服务,并支持在受影响系统上执行远程代码。
在公开报告的CVE-2020-3992和CVE-2021-21974实际利用案例中,威胁行为者部署了一个名为vmtools.py的Python后门,存放在文件路径/store/packages/;这个文件名和文件路径与一个用户在公开论坛上分享的与当前ESXiArgs活动相关的行程序脚本的内容相匹配。
威胁态势正在恶化
由于在虚拟化领域中占据主导地位,VMware的产品线通常是组织的IT基础设施虚拟化和管理系统的关键组成部分,因此VMware虚拟基础架构产品对攻击者具有很大的吸引力。
越来越多的网络犯罪团伙意识到,缺乏安全工具、接口缺乏充分的网络分段以及被实际利用漏洞使ESXi成为一个诱人的攻击环境。
例如,2023年4月,CrowdStrike发现了一个名为MichaelKors的新的勒索软件即服务程序,为附属团队提供针对Windows和ESXi/Linux系统的勒索软件二进制文件。其他能够针对ESXi环境进行攻击的勒索软件服务平台也在浮出水面,如Nevada勒索软件。
2022年9月末,Mandiant研究人员发现并披露了一个主要针对VMware ESXi和VMware vCenter服务器的新型恶意软件生态系统,它部署为恶意远程管理工具(RAT)。该远程管理工具可在受感染服务器上持久化运行,并与底层虚拟机进行交互、提取敏感信息。
在2022年末,CrowdStrike观察到ALPHA SPIDER使用Cobalt Strike变体对ESXi服务器进行后渗透活动,并使用SystemBC变体通过受感染的vCenter服务器在网络中持久运行。此外,SCATTERED SPIDER利用开源代理工具rsocx持续访问受害者的ESXi服务器。
CrowdStrike评估发现,很多知名网络犯罪团伙在不同行业和地区使用Log4Shell (CVE-2021-44228) 攻击VMware Horizon实例,包括NEMESIS KITTEN、SILENT CHOLLIMA以及PROPHET SPIDER等。
针对虚拟基础架构组件实施攻击具有诸多优势。目标组件通常没有得到足够的安全保护,放大了单次入侵的影响或帮助规避检测和防范机制。VMware产品过去曾受到关键漏洞的影响,攻击者可能会继续针对任何潜在弱点进行攻击。入侵成功通常能获得高价值资源的访问权限。
攻击向量
凭证窃取
对ESXi 虚拟机管理程序最直接的攻击向量是窃取用户凭证。在窃取凭证后,攻击者可以轻松通过服务器的身份验证,根据攻击者的目的推进攻击。如果攻击者获得足够的权限,可以启用和访问SSH控制台,甚至能直接执行任意代码,即使在最新版ESXi上也是如此。
如果被入侵的账户具备访问虚拟机网络管理功能的权限,攻击者可以将虚拟机重新配置为代理,用于访问内部网络。此外,如果被入侵的账户仅提供对一组虚拟机的访问权限,攻击者可以针对影响虚拟化操作系统的配置弱点或漏洞,以侵入目标网络。
一旦权限有限的攻击者成功访问了ESXi服务器,从初始访问到实现实际目标之间,需要权限升级这一关键中间步骤。CVE-2016-7463、CVE-2017-4940和CVE-2020-3955等跨站脚本攻击(XSS)漏洞可以作为欺骗特权用户执行代码的手段进行攻击。例如,CVE-2020-3955首先将恶意载荷嵌入虚拟机属性(例如主机名)中,然后欺骗系统管理员通过VMware管理界面访问这些恶意属性。据目前所知,这些XSS漏洞没有被用于实际攻击。另外,还存在CVE-2021-22043这种权限升级漏洞,它允许具备访问设置权限的用户升级权限;然而,截至本文撰写时,尚无公开可用的针对此漏洞的概念验证(POC)代码或武器化利用代码。CrowdStrike也没有了解到涉及这一特定漏洞的实际攻击活动。
根据行业报道,凭证窃取似乎是攻击者针对ESXi服务器的主要攻击向量。此外,CrowdStrike观察到的案例表明,攻击者通常通过其他手段获取对目标网络的访问权限,然后尝试收集ESXi凭证以达到最终目标,如部署勒索软件;所有这些案例中,攻击者窃取的凭证具备足够的特权,使其可以直接执行任意代码。
虚拟机访问
如上文介绍,虚拟机可以通过两种方式访问:直接访问或通过ESXi管理界面访问。两种方式的凭证窃取过程类似,在此不再重复。
如果可以直接访问虚拟机,则可能存在以下两种情况:
如果虚拟机与内部网络的其余部分没有足够的隔离,它可能作为在网络中横向移动的代理,导致无需对ESXi服务器发起攻击。
如果网络的唯一入口是一个可访问的、正确隔离的虚拟机,攻击者无法对网络进一步渗透,必须直接在ESXi虚拟机管理器级别上运行代码。攻击者必须掌控ESXi 虚拟机管理器,因为管理器到网络中其他机器存在网络路径。为了从虚拟机攻击底层虚拟机管理器,攻击者一般需要利用虚拟机逃逸漏洞。
实现虚拟机逃逸有两种方法:第一种是攻击虚拟机管理器虚拟化组件,比如利用影响虚拟机管理器硬件仿真组件的漏洞。这通常需要掌握虚拟机内核级权限,即需要利用额外的漏洞攻击虚拟机。第二种方法是利用通过网络可达的影响虚拟机管理器的漏洞,并使用虚拟机向虚拟机管理器传输恶意网络数据包。
在大约40个可能通过虚拟化组件实现虚拟机逃逸的漏洞中,只有两个漏洞(CVE-2012-1517和CVE-2012-1516)针对旧版本的ESXi(3.5至4.1)中的虚拟机与虚拟机管理器之间的通信组件。所有其他漏洞都针对模拟设备,如USB(CVE-2022-31705,CVE-2021-2 2041,CVE-2021-22040)、CD-ROM(CVE-2021-22045)或SVGA(CVE-2020-3969,CVE-2020-3962)。
自ESXi 6.5版本引入VMX沙箱以来,利用ESXi虚拟化组件进行虚拟机逃逸攻击至少涉及三个不同的漏洞利用,如下所示:
攻击者通过第一个漏洞在内核级别上入侵虚拟机。
然后,攻击者通过第二个漏洞针对虚拟机内的设备,以在VMX进程中执行代码。
攻击者随后执行第三个漏洞利用,实现VMX沙箱的逃逸。
最后,攻击者可能需要第四个漏洞利用来提升在虚拟化管理器上的权限。
截至目前,公开的这种漏洞链的概念验证代码不存在,有关这类漏洞的文档也很少。由于此类攻击的复杂性,只有高级的行动者,如国家级对手,可能具备所需的能力。
如何保护虚拟机集群?
CrowdStrike提供了五项重要建议,各组织应该实施这些措施,降低虚拟化管理器被攻击的概率或攻击影响。
避免直接访问ESXi主机。使用vSphere客户端管理vCenter服务器所辖ESXi主机。不要使用VMware主机客户端直接访问受管主机,也不要通过直接控制台用户界面更改受管主机。(注:这是VMware特定的建议。)
如果有必要直接访问ESXi主机,请使用具备多因素验证、经过加固的跳板服务器。ESXi访问应仅限于用于管理目的或特定权限目的的跳板服务器,该服务器具有完整的审计功能,并启用了多因素身份验证。应实施网络分段,确保只能从跳板服务器出发访问ESXi或vCenter的任何SSH、Web UI和API。此外,应禁用SSH访问,对任何启用SSH访问的操作发出警报并进行紧急调查。
确保vCenter不通过SSH或HTTP暴露在互联网上。CrowdStrike观察到对手使用有效帐户或利用RCE漏洞(例如CVE-2021-21985)获取对vCenter的初始访问权限。虽然VMware已经解决了这些漏洞,为了减轻风险,但这些服务不应暴露在互联网上。
确保ESXi数据存储卷定期备份。虚拟机磁盘镜像和快照应每天备份(如果可能,更频繁地备份)到离线存储提供商。勒索软件事件中,安全团队应具备从备份中恢复系统的能力,并防止备份本身被加密。
如果发现或怀疑备份正在进行加密,并且无法访问备份以终止恶意进程,可以物理断开ESXi主机的存储连接,甚至切断ESXi主机的电源。威胁行为者在获取访问权限后,通常会更改根密码,将管理员锁在系统之外。尽管物理断开磁盘连接可能会引发问题,或丢失尚未写入后端存储的数据,但它将阻止勒索软件继续加密VMDK文件。关闭虚拟机客户机将无济于事,因为加密是在虚拟化管理器本身上进行的。ESXi的勒索软件通常具有关闭虚拟机客户机的功能,可以解锁磁盘文件并进行加密。
更多ESXi安全建议可在VMware网站上查阅。
结论
基于下列事实:各组织日益使用虚拟化技术将工作负载和基础架构转移到云环境;VMware在企业虚拟化解决方案领域占据主导地位;安全公司追踪到网络犯罪团伙频繁针对虚拟化产品发动攻击。CrowdStrike认为,攻击者很可能会继续针对基于VMware的虚拟化基础架构进行攻击。
凭据窃取是针对基础架构管理和虚拟化产品的最直接的攻击向量。由于 VMware 产品过去曾受到重要漏洞的影响,攻击者和行业研究人员很可能会继续研究并发现未来的潜在弱点。值得注意的是,VMware于2022年10月15日停止对ESXi 6.5、6.7 和 vSphere 6.5、6.7 的一般支持,基本上不再对这些产品进行安全更新。
因为虚拟化技术通常是组织IT基础架构中至关重要的一部分,定期应用安全更新并进行安全态势审查非常关键,即使这些过程会影响网络服务和组件的可用性也必须落实。
参考资料:https://www.crowdstrike.com/blog/hypervisor-jackpotting-lack-of-antivirus-support-opens-the-door-to-adversaries/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。