美國安全公司CrowdStrike研究表示,近一年來針對VMware ESXi vSphere攻擊越來越頻繁。越來越多的網路犯罪組織發現ESXi缺乏安全防護、使用介面沒有充分的網路分段以及多個被實際利用漏洞,使ESXi成為一個誘人的攻擊環境。
自2020年以來,越來越多意圖發起大規模攻擊的網路犯罪組織針對VMware ESXi vSphere管理程式,佈署針對Linux版本的勒索軟體。美國安全公司CrowdStrike觀察到這一趨勢延續到了2023年第一季,Alphv、Lockbit和Defray(CrowdStrike內部代號為ALPHA SPIDER、BITWISE SPIDER、SPRITE SPIDER)等勒索軟體即服務(RaaS)平臺均被用來攻擊ESXi。ESXi是一種廣泛使用的虛擬化和管理系統,但ESXi本身設計上不支援協力廠商代理程式或反病毒軟體,這一現象值得注意。
與ESXi平臺相關的幾個重要的VMware產品包括:
- ESXi(或vSphere虛擬機器管理器):作為伺服器,包括虛擬機器管理器元件、身份和管理元件以及與伺服器硬體相關的資源管理元件;
- vCenter:身份和管理元件,以及用於一組ESXi伺服器的完整資源管理器;
- ONE Access(或Identity Manager):提供單點登錄(SSO)解決方案,用於連接到vCenter或ESXi;
- Horizon:VMware的全面虛擬架構管理解決方案。
VMware曾公開表示,vSphere虛擬機器管理器不需要使用防毒軟體,也不支援使用此類軟體。
除了缺乏ESXi安全工具外,網路犯罪組織還積極漏洞。2023年2月,法國電腦應急回應小組(CERT-FR)報告一起勒索軟體攻擊事件,追蹤代號為ESXiArgs。該攻擊事件針對的是易受CVE-2020-3992或CVE-2021-21974漏洞影響,並暴露於網路的VMware ESXi虛擬機器管理器。這兩個漏洞都針對ESXi虛擬機器管理器中的OpenSLP服務。CVE-2021-21974允許未經身份驗證的相鄰網路攻擊者在受影響的VMware ESXi實例上執行任意程式碼,但此前尚未被實際利用。CVE-2020-3992已被在野利用,它允許未經身份驗證的對手在管理網路中的ESXi機器上訪問埠427,並觸發OpenSLP服務中的使用後釋放問題,導致遠端程式碼執行。此前的公開報告還確認了CVE-2019-5544被實際利用,它同樣影響了OpenSLP服務,並支援在受影響系統上執行遠端程式碼。在公開報告的CVE-2020-3992和CVE-2021-21974實際利用案例中,威脅行為者佈署了一個名為vmtools.py的Python後門,存放在檔路徑/store/packages/;這個檔案名和檔路徑與一個使用者在公開論壇上分享的與當前ESXiArgs活動相關的行程式腳本的內容相匹配。
威脅態勢正在惡化
VMware在虛擬化、雲端領域中佔據主導地位,通常是使用單位的IT基礎設施虛擬化和管理系統的關鍵組成部分,因此VMware虛擬基礎架構產品對攻擊者具有很大的吸引力。越來越多的網路犯罪組織意識到,缺乏安全工具、介面缺乏充分的網路分段以及被實際利用漏洞使ESXi成為一個誘人的攻擊環境。
例如,2023年4月,CrowdStrike發現了一個名為MichaelKors的新的勒索軟體即服務程式,為附屬團隊提供針對Windows和ESXi/Linux系統的勒索軟體二進位檔案。其他能夠針對ESXi環境進行攻擊的勒索軟體服務平臺也在浮出水面,如Nevada勒索軟體。2022年9月末,Mandiant研究人員發現並披露了一個主要針對VMware ESXi和VMware vCenter伺服器的新型惡意軟體生態系統,它部署為惡意遠端系統管理工具(RAT)。該遠端系統管理工具可在受感染伺服器上持久化運行,並與底層虛擬機器進行交互、提取敏感資訊。
在2022年末,CrowdStrike觀察到ALPHA SPIDER使用Cobalt Strike變體對ESXi伺服器進行後滲透活動,並使用SystemBC變體通過受感染的vCenter伺服器在網路中持久運行。此外,SCATTERED SPIDER利用開源代理工具rsocx持續訪問受害者的ESXi伺服器。CrowdStrike評估發現,很多知名網路犯罪組織在不同行業和地區使用Log4Shell (CVE-2021-44228) 攻擊VMware Horizon實例,包括NEMESIS KITTEN、SILENT CHOLLIMA以及PROPHET SPIDER等。針對虛擬基礎架構零組件實行攻擊具有諸多優勢。
目標群組件通常沒有得到足夠的安全保護,放大了單次入侵的影響或幫助規避檢測和防範機制。VMware產品過去曾受到關鍵漏洞的影響,攻擊者可能會繼續針對任何潛在弱點進行攻擊。入侵成功通常能獲得高價值資源的存取權限。
攻擊向量: 憑證竊取
對ESXi 虛擬機器管理程式最直接的攻擊向量是竊取用戶憑證。在竊取憑證後,攻擊者可以輕鬆通過伺服器的身份驗證,根據攻擊者的目的推進攻擊。如果攻擊者獲得足夠的許可權,可以啟用和訪問SSH控制台,甚至能直接執行任意程式碼,即使在最新版ESXi上也是如此。如果被入侵的帳戶具備訪問虛擬機器網路管理功能的許可權,攻擊者可以將虛擬機器重新配置為代理,用於訪問內部網路。此外,如果被入侵的帳戶僅提供對一組虛擬機器的存取權限,攻擊者可以針對影響虛擬化作業系統的配置弱點或漏洞,以入侵目標網路。
一旦許可權有限的攻擊者成功訪問了ESXi伺服器,從初始訪問到實現實際目標之間,需要許可權升級這一關鍵中間步驟。CVE-2016-7463、CVE-2017-4940和CVE-2020-3955等跨站腳本攻擊(XSS)漏洞可以作為欺騙特權用戶執行程式碼的手段進行攻擊。例如,CVE-2020-3955首先將惡意載荷嵌入虛擬機器屬性(例如主機名稱)中,然後欺騙系統管理員透過VMware管理介面訪問這些惡意屬性。
據目前所知,這些XSS漏洞沒有被用於實際攻擊。另外,還存在CVE-2021-22043這種許可權升級漏洞,它允許具備訪問設置許可權的用戶升級許可權;然而,截至本文撰寫時,尚無公開可用的針對此漏洞的概念驗證(POC)程式碼或武器化利用程式碼。
CrowdStrike也沒有瞭解到涉及這一特定漏洞的實際攻擊活動。根據報導,憑證竊取似乎是攻擊者針對ESXi伺服器的主要攻擊向量。此外,CrowdStrike觀察到的案例表明,攻擊者通常通過其他手段獲取對目標網路的存取權限,然後嘗試收集ESXi憑證以達到最終目標,如部署勒索軟體;所有這些案例中,攻擊者竊取的憑證具備足夠的特權,使其可以直接執行任意程式碼。
虛擬機器可以通過兩種方式訪問:直接訪問或通過ESXi管理介面訪問。如果可以直接訪問虛擬機器,則可能存在以下兩種情況:
- 如果虛擬機器與內部網路的其餘部分沒有足夠的隔離,它可能作為在網路中橫向移動的代理,導致無需對ESXi伺服器發起攻擊。
- 如果網路的唯一入口是一個可訪問的、正確隔離的虛擬機器,攻擊者無法對網路進一步滲透,必須直接在ESXi虛擬機器管理器級別上運行程式碼。攻擊者必須掌控ESXi 虛擬機器管理器,因為管理器到網路中其他機器存在網路路徑。
為了從虛擬機器攻擊底層虛擬機器管理器,攻擊者一般需要利用虛擬機器逃逸漏洞。
實現虛擬機器逃逸有兩種方法:
- 第一種是攻擊虛擬機器管理器虛擬化組件,比如利用影響虛擬機器管理器硬體模擬元件的漏洞。這通常需要掌握虛擬機器內核級許可權,即需要利用額外的漏洞攻擊虛擬機器。
- 第二種方法是利用通過網路可達的影響虛擬機器管理器的漏洞,並使用虛擬機器向虛擬機器管理器傳輸惡意網路資料包。
在大約40個可能通過虛擬化元件實現虛擬機器逃逸的漏洞中,只有兩個漏洞(CVE-2012-1517和CVE-2012-1516)針對舊版本的ESXi(3.5至4.1)中的虛擬機器與虛擬機器管理器之間的通信元件。所有其他漏洞都針對類比設備,如USB(CVE-2022-31705,CVE-2021-2 2041,CVE-2021-22040)、CD-ROM(CVE-2021-22045)或SVGA(CVE-2020-3969,CVE-2020-3962)。
自ESXi 6.5版本引入VMX沙箱以來,利用ESXi虛擬化元件進行虛擬機器逃逸攻擊至少涉及三個不同的漏洞利用,如下所示:
- 攻擊者通過第一個漏洞在內核級別上入侵虛擬機器。
- 然後,攻擊者通過第二個漏洞針對虛擬機器內的設備,以在VMX進程中執行程式碼。
- 攻擊者隨後執行第三個漏洞利用,實現VMX沙箱的逃逸。
- 最後,攻擊者可能需要第四個漏洞利用來提升在虛擬化管理器上的許可權。截至目前,公開的這種漏洞鏈的概念驗證程式碼不存在,有關這類漏洞的文檔也很少。由於此類攻擊的複雜性,只有高級的行動者,如國家級對手,可能具備所需的能力。
保護虛擬機器集群
CrowdStrike提供了五項重要建議,各組織應該實施這些措施,降低虛擬化管理器被攻擊的概率或攻擊影響。
- 避免直接訪問ESXi主機。使用vSphere用戶端管理vCenter伺服器所轄ESXi主機。不要使用VMware主機用戶端直接訪問受管主機,也不要通過直接控制台使用者介面更改受管主機。
- 如果有必要直接訪問ESXi主機,請使用具備多因素驗證、加強防護的跳板伺服器。ESXi訪問應僅限於用於管理目的或特定許可權目的的跳板伺服器,該服務器具有完整的稽核功能,並啟用了多因素身份驗證。應實施網路分段,確保只能從跳板伺服器出發訪問ESXi或vCenter的任何SSH、Web UI和API。此外,應禁用SSH訪問,對任何啟用SSH訪問的操作發出警報並進行緊急調查。
- 確保vCenter不通過SSH或HTTP暴露在網路上。CrowdStrike觀察到對手使用有效帳戶或利用RCE漏洞(例如CVE-2021-21985)獲取對vCenter的初始存取權限。雖然VMware已經解決了這些漏洞,為了減輕風險,但這些服務不應暴露在網路上。
- 確保ESXi資料存儲卷定期備份。虛擬機器磁片鏡像和快照應每天備份(如果可能,更頻繁地備份)到離線存儲提供商。勒索軟體事件中,安全團隊應具備從備份中恢復系統的能力,並防止備份本身被加密。
- 如果發現或懷疑備份正在進行加密,並且無法訪問備份以終止惡意進程,可以物理斷開ESXi主機的存儲連接,甚至切斷ESXi主機的電源。威脅行為者在獲取存取權限後,通常會更改根密碼,將管理員鎖在系統之外。儘管物理斷開磁片連接可能會引發問題,或丟失尚未寫入後端存儲的資料,但它將阻止勒索軟體繼續加密VMDK檔。關閉虛擬機器客戶機將無濟於事,因為加密是在虛擬化管理器本身上進行的。ESXi的勒索軟體通常具有關閉虛擬機器客戶機的功能,可以解鎖磁片檔並進行加密。
更多ESXi安全建議可在VMware網站上查閱。
本文轉載自crowdstrike官網。