前情回顧·VMware安全危機(jī)

(資料圖片)

針對VMware ESXi的勒索軟件爆發(fā)！因源碼泄露，近一年涌現(xiàn)出9個(gè)變種

歐洲預(yù)警！VMWare老漏洞遭大規(guī)模勒索利用，已有數(shù)千個(gè)系統(tǒng)受影響

工信部：關(guān)于防范利用VMware ESXi高危漏洞實(shí)施勒索攻擊的風(fēng)險(xiǎn)提示

針對VMware虛擬機(jī)平臺(tái)的勒索軟件攻擊開始肆虐

安全內(nèi)參5月18日消息，2020年以來，意圖發(fā)起“狩獵大型獵物”（BGH）攻擊的網(wǎng)絡(luò)犯罪團(tuán)伙越來越多地針對VMware ESXi vSphere管理程序，部署專門設(shè)計(jì)的Linux版本勒索軟件。

美國安全公司CrowdStrike觀察到，這一趨勢持續(xù)到了2023年第一季度，Alphv、Lockbit和Defray（CrowdStrike內(nèi)部代號(hào)為ALPHA SPIDER、BITWISE SPIDER、SPRITE SPIDER）等勒索軟件即服務(wù)（RaaS）平臺(tái)均被用來攻擊ESXi。

鑒于ESXi本身設(shè)計(jì)上不支持第三方代理或反病毒軟件，并且VMware在其文檔中明確表示不需要反病毒軟件，這一趨勢尤其值得注意。ESXi是一種廣泛使用的虛擬化和管理系統(tǒng)，這使得它對網(wǎng)絡(luò)犯罪團(tuán)伙極具吸引力。

ESXi是什么？

ESXi是VMware開發(fā)的裸機(jī)虛擬機(jī)管理器（Type-1類型）。虛擬機(jī)管理器是一種管理虛擬機(jī)的軟件。與運(yùn)行在傳統(tǒng)操作系統(tǒng)上的托管虛擬機(jī)管理器（Type-2類型）相比，裸機(jī)虛擬機(jī)管理器直接運(yùn)行在專用主機(jī)硬件上，性能更佳，主要用于數(shù)據(jù)中心、云服務(wù)等場景。

ESXi系統(tǒng)通常由vCenter管理，vCenter是一個(gè)集中的服務(wù)器管理工具，可以控制多個(gè)ESXi設(shè)備。盡管ESXi不是Linux操作系統(tǒng)，但在ESXi命令行程序中可以運(yùn)行一些Linux編譯的ELF二進(jìn)制文件。

與ESXi平臺(tái)相關(guān)的幾個(gè)重要的VMware產(chǎn)品包括：

ESXi（或vSphere虛擬機(jī)管理器）：作為服務(wù)器，包括虛擬機(jī)管理器組件、身份和管理組件以及與服務(wù)器硬件相關(guān)的資源管理組件；

vCenter：身份和管理組件，以及用于一組ESXi服務(wù)器的完整資源管理器；

ONE Access（或Identity Manager）：提供單點(diǎn)登錄（SSO）解決方案，用于連接到vCenter或ESXi；

Horizon：VMware的全面虛擬架構(gòu)管理解決方案。

ESXi安全現(xiàn)狀

VMware建議：“vSphere虛擬機(jī)管理器不需要使用防病毒軟件，也不支持使用此類軟件?！?/p>

除了缺乏ESXi安全工具外，網(wǎng)絡(luò)犯罪團(tuán)伙還積極利用了一些漏洞。2023年2月，法國計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT-FR）報(bào)告了一起勒索軟件攻擊事件，追蹤代號(hào)為ESXiArgs。該攻擊事件針對的是易受CVE-2020-3992或CVE-2021-21974漏洞影響，暴露于互聯(lián)網(wǎng)的VMware ESXi虛擬機(jī)管理器。

這兩個(gè)漏洞都針對ESXi虛擬機(jī)管理器中的OpenSLP服務(wù)。CVE-2021-21974允許未經(jīng)身份驗(yàn)證的相鄰網(wǎng)絡(luò)攻擊者在受影響的VMware ESXi實(shí)例上執(zhí)行任意代碼，但此前尚未被實(shí)際利用。CVE-2020-3992已被在野利用，它允許未經(jīng)身份驗(yàn)證的對手在管理網(wǎng)絡(luò)中的ESXi機(jī)器上訪問端口427，并觸發(fā)OpenSLP服務(wù)中的使用后釋放問題，導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

此前的公開報(bào)告還確認(rèn)了CVE-2019-5544被實(shí)際利用，它同樣影響了OpenSLP服務(wù)，并支持在受影響系統(tǒng)上執(zhí)行遠(yuǎn)程代碼。

在公開報(bào)告的CVE-2020-3992和CVE-2021-21974實(shí)際利用案例中，威脅行為者部署了一個(gè)名為vmtools.py的Python后門，存放在文件路徑/store/packages/；這個(gè)文件名和文件路徑與一個(gè)用戶在公開論壇上分享的與當(dāng)前ESXiArgs活動(dòng)相關(guān)的行程序腳本的內(nèi)容相匹配。

威脅態(tài)勢正在惡化

由于在虛擬化領(lǐng)域中占據(jù)主導(dǎo)地位，VMware的產(chǎn)品線通常是組織的IT基礎(chǔ)設(shè)施虛擬化和管理系統(tǒng)的關(guān)鍵組成部分，因此VMware虛擬基礎(chǔ)架構(gòu)產(chǎn)品對攻擊者具有很大的吸引力。

越來越多的網(wǎng)絡(luò)犯罪團(tuán)伙意識(shí)到，缺乏安全工具、接口缺乏充分的網(wǎng)絡(luò)分段以及被實(shí)際利用漏洞使ESXi成為一個(gè)誘人的攻擊環(huán)境。

例如，2023年4月，CrowdStrike發(fā)現(xiàn)了一個(gè)名為MichaelKors的新的勒索軟件即服務(wù)程序，為附屬團(tuán)隊(duì)提供針對Windows和ESXi/Linux系統(tǒng)的勒索軟件二進(jìn)制文件。其他能夠針對ESXi環(huán)境進(jìn)行攻擊的勒索軟件服務(wù)平臺(tái)也在浮出水面，如Nevada勒索軟件。

2022年9月末，Mandiant研究人員發(fā)現(xiàn)并披露了一個(gè)主要針對VMware ESXi和VMware vCenter服務(wù)器的新型惡意軟件生態(tài)系統(tǒng)，它部署為惡意遠(yuǎn)程管理工具（RAT）。該遠(yuǎn)程管理工具可在受感染服務(wù)器上持久化運(yùn)行，并與底層虛擬機(jī)進(jìn)行交互、提取敏感信息。

在2022年末，CrowdStrike觀察到ALPHA SPIDER使用Cobalt Strike變體對ESXi服務(wù)器進(jìn)行后滲透活動(dòng)，并使用SystemBC變體通過受感染的vCenter服務(wù)器在網(wǎng)絡(luò)中持久運(yùn)行。此外，SCATTERED SPIDER利用開源代理工具rsocx持續(xù)訪問受害者的ESXi服務(wù)器。

CrowdStrike評估發(fā)現(xiàn)，很多知名網(wǎng)絡(luò)犯罪團(tuán)伙在不同行業(yè)和地區(qū)使用Log4Shell (CVE-2021-44228) 攻擊VMware Horizon實(shí)例，包括NEMESIS KITTEN、SILENT CHOLLIMA以及PROPHET SPIDER等。

針對虛擬基礎(chǔ)架構(gòu)組件實(shí)施攻擊具有諸多優(yōu)勢。目標(biāo)組件通常沒有得到足夠的安全保護(hù)，放大了單次入侵的影響或幫助規(guī)避檢測和防范機(jī)制。VMware產(chǎn)品過去曾受到關(guān)鍵漏洞的影響，攻擊者可能會(huì)繼續(xù)針對任何潛在弱點(diǎn)進(jìn)行攻擊。入侵成功通常能獲得高價(jià)值資源的訪問權(quán)限。

攻擊向量

憑證竊取

對ESXi 虛擬機(jī)管理程序最直接的攻擊向量是竊取用戶憑證。在竊取憑證后，攻擊者可以輕松通過服務(wù)器的身份驗(yàn)證，根據(jù)攻擊者的目的推進(jìn)攻擊。如果攻擊者獲得足夠的權(quán)限，可以啟用和訪問SSH控制臺(tái)，甚至能直接執(zhí)行任意代碼，即使在最新版ESXi上也是如此。

如果被入侵的賬戶具備訪問虛擬機(jī)網(wǎng)絡(luò)管理功能的權(quán)限，攻擊者可以將虛擬機(jī)重新配置為代理，用于訪問內(nèi)部網(wǎng)絡(luò)。此外，如果被入侵的賬戶僅提供對一組虛擬機(jī)的訪問權(quán)限，攻擊者可以針對影響虛擬化操作系統(tǒng)的配置弱點(diǎn)或漏洞，以侵入目標(biāo)網(wǎng)絡(luò)。

一旦權(quán)限有限的攻擊者成功訪問了ESXi服務(wù)器，從初始訪問到實(shí)現(xiàn)實(shí)際目標(biāo)之間，需要權(quán)限升級這一關(guān)鍵中間步驟。CVE-2016-7463、CVE-2017-4940和CVE-2020-3955等跨站腳本攻擊（XSS）漏洞可以作為欺騙特權(quán)用戶執(zhí)行代碼的手段進(jìn)行攻擊。例如，CVE-2020-3955首先將惡意載荷嵌入虛擬機(jī)屬性（例如主機(jī)名）中，然后欺騙系統(tǒng)管理員通過VMware管理界面訪問這些惡意屬性。據(jù)目前所知，這些XSS漏洞沒有被用于實(shí)際攻擊。另外，還存在CVE-2021-22043這種權(quán)限升級漏洞，它允許具備訪問設(shè)置權(quán)限的用戶升級權(quán)限；然而，截至本文撰寫時(shí)，尚無公開可用的針對此漏洞的概念驗(yàn)證（POC）代碼或武器化利用代碼。CrowdStrike也沒有了解到涉及這一特定漏洞的實(shí)際攻擊活動(dòng)。

根據(jù)行業(yè)報(bào)道，憑證竊取似乎是攻擊者針對ESXi服務(wù)器的主要攻擊向量。此外，CrowdStrike觀察到的案例表明，攻擊者通常通過其他手段獲取對目標(biāo)網(wǎng)絡(luò)的訪問權(quán)限，然后嘗試收集ESXi憑證以達(dá)到最終目標(biāo)，如部署勒索軟件；所有這些案例中，攻擊者竊取的憑證具備足夠的特權(quán)，使其可以直接執(zhí)行任意代碼。

虛擬機(jī)訪問

如上文介紹，虛擬機(jī)可以通過兩種方式訪問：直接訪問或通過ESXi管理界面訪問。兩種方式的憑證竊取過程類似，在此不再重復(fù)。

如果可以直接訪問虛擬機(jī)，則可能存在以下兩種情況：

如果虛擬機(jī)與內(nèi)部網(wǎng)絡(luò)的其余部分沒有足夠的隔離，它可能作為在網(wǎng)絡(luò)中橫向移動(dòng)的代理，導(dǎo)致無需對ESXi服務(wù)器發(fā)起攻擊。

如果網(wǎng)絡(luò)的唯一入口是一個(gè)可訪問的、正確隔離的虛擬機(jī)，攻擊者無法對網(wǎng)絡(luò)進(jìn)一步滲透，必須直接在ESXi虛擬機(jī)管理器級別上運(yùn)行代碼。攻擊者必須掌控ESXi 虛擬機(jī)管理器，因?yàn)楣芾砥鞯骄W(wǎng)絡(luò)中其他機(jī)器存在網(wǎng)絡(luò)路徑。為了從虛擬機(jī)攻擊底層虛擬機(jī)管理器，攻擊者一般需要利用虛擬機(jī)逃逸漏洞。

實(shí)現(xiàn)虛擬機(jī)逃逸有兩種方法：第一種是攻擊虛擬機(jī)管理器虛擬化組件，比如利用影響虛擬機(jī)管理器硬件仿真組件的漏洞。這通常需要掌握虛擬機(jī)內(nèi)核級權(quán)限，即需要利用額外的漏洞攻擊虛擬機(jī)。第二種方法是利用通過網(wǎng)絡(luò)可達(dá)的影響虛擬機(jī)管理器的漏洞，并使用虛擬機(jī)向虛擬機(jī)管理器傳輸惡意網(wǎng)絡(luò)數(shù)據(jù)包。

在大約40個(gè)可能通過虛擬化組件實(shí)現(xiàn)虛擬機(jī)逃逸的漏洞中，只有兩個(gè)漏洞（CVE-2012-1517和CVE-2012-1516）針對舊版本的ESXi（3.5至4.1）中的虛擬機(jī)與虛擬機(jī)管理器之間的通信組件。所有其他漏洞都針對模擬設(shè)備，如USB（CVE-2022-31705，CVE-2021-2 2041，CVE-2021-22040）、CD-ROM（CVE-2021-22045）或SVGA（CVE-2020-3969，CVE-2020-3962）。

自ESXi 6.5版本引入VMX沙箱以來，利用ESXi虛擬化組件進(jìn)行虛擬機(jī)逃逸攻擊至少涉及三個(gè)不同的漏洞利用，如下所示：

攻擊者通過第一個(gè)漏洞在內(nèi)核級別上入侵虛擬機(jī)。

然后，攻擊者通過第二個(gè)漏洞針對虛擬機(jī)內(nèi)的設(shè)備，以在VMX進(jìn)程中執(zhí)行代碼。

攻擊者隨后執(zhí)行第三個(gè)漏洞利用，實(shí)現(xiàn)VMX沙箱的逃逸。

最后，攻擊者可能需要第四個(gè)漏洞利用來提升在虛擬化管理器上的權(quán)限。

截至目前，公開的這種漏洞鏈的概念驗(yàn)證代碼不存在，有關(guān)這類漏洞的文檔也很少。由于此類攻擊的復(fù)雜性，只有高級的行動(dòng)者，如國家級對手，可能具備所需的能力。

如何保護(hù)虛擬機(jī)集群？

CrowdStrike提供了五項(xiàng)重要建議，各組織應(yīng)該實(shí)施這些措施，降低虛擬化管理器被攻擊的概率或攻擊影響。

避免直接訪問ESXi主機(jī)。使用vSphere客戶端管理vCenter服務(wù)器所轄ESXi主機(jī)。不要使用VMware主機(jī)客戶端直接訪問受管主機(jī)，也不要通過直接控制臺(tái)用戶界面更改受管主機(jī)。（注：這是VMware特定的建議。）

如果有必要直接訪問ESXi主機(jī)，請使用具備多因素驗(yàn)證、經(jīng)過加固的跳板服務(wù)器。ESXi訪問應(yīng)僅限于用于管理目的或特定權(quán)限目的的跳板服務(wù)器，該服務(wù)器具有完整的審計(jì)功能，并啟用了多因素身份驗(yàn)證。應(yīng)實(shí)施網(wǎng)絡(luò)分段，確保只能從跳板服務(wù)器出發(fā)訪問ESXi或vCenter的任何SSH、Web UI和API。此外，應(yīng)禁用SSH訪問，對任何啟用SSH訪問的操作發(fā)出警報(bào)并進(jìn)行緊急調(diào)查。

確保vCenter不通過SSH或HTTP暴露在互聯(lián)網(wǎng)上。CrowdStrike觀察到對手使用有效帳戶或利用RCE漏洞（例如CVE-2021-21985）獲取對vCenter的初始訪問權(quán)限。雖然VMware已經(jīng)解決了這些漏洞，為了減輕風(fēng)險(xiǎn)，但這些服務(wù)不應(yīng)暴露在互聯(lián)網(wǎng)上。

確保ESXi數(shù)據(jù)存儲(chǔ)卷定期備份。虛擬機(jī)磁盤鏡像和快照應(yīng)每天備份（如果可能，更頻繁地備份）到離線存儲(chǔ)提供商。勒索軟件事件中，安全團(tuán)隊(duì)?wèi)?yīng)具備從備份中恢復(fù)系統(tǒng)的能力，并防止備份本身被加密。

如果發(fā)現(xiàn)或懷疑備份正在進(jìn)行加密，并且無法訪問備份以終止惡意進(jìn)程，可以物理斷開ESXi主機(jī)的存儲(chǔ)連接，甚至切斷ESXi主機(jī)的電源。威脅行為者在獲取訪問權(quán)限后，通常會(huì)更改根密碼，將管理員鎖在系統(tǒng)之外。盡管物理斷開磁盤連接可能會(huì)引發(fā)問題，或丟失尚未寫入后端存儲(chǔ)的數(shù)據(jù)，但它將阻止勒索軟件繼續(xù)加密VMDK文件。關(guān)閉虛擬機(jī)客戶機(jī)將無濟(jì)于事，因?yàn)榧用苁窃谔摂M化管理器本身上進(jìn)行的。ESXi的勒索軟件通常具有關(guān)閉虛擬機(jī)客戶機(jī)的功能，可以解鎖磁盤文件并進(jìn)行加密。

更多ESXi安全建議可在VMware網(wǎng)站上查閱。

結(jié)論

基于下列事實(shí)：各組織日益使用虛擬化技術(shù)將工作負(fù)載和基礎(chǔ)架構(gòu)轉(zhuǎn)移到云環(huán)境；VMware在企業(yè)虛擬化解決方案領(lǐng)域占據(jù)主導(dǎo)地位；安全公司追蹤到網(wǎng)絡(luò)犯罪團(tuán)伙頻繁針對虛擬化產(chǎn)品發(fā)動(dòng)攻擊。CrowdStrike認(rèn)為，攻擊者很可能會(huì)繼續(xù)針對基于VMware的虛擬化基礎(chǔ)架構(gòu)進(jìn)行攻擊。

憑據(jù)竊取是針對基礎(chǔ)架構(gòu)管理和虛擬化產(chǎn)品的最直接的攻擊向量。由于 VMware 產(chǎn)品過去曾受到重要漏洞的影響，攻擊者和行業(yè)研究人員很可能會(huì)繼續(xù)研究并發(fā)現(xiàn)未來的潛在弱點(diǎn)。值得注意的是，VMware于2022年10月15日停止對ESXi 6.5、6.7 和 vSphere 6.5、6.7 的一般支持，基本上不再對這些產(chǎn)品進(jìn)行安全更新。

因?yàn)樘摂M化技術(shù)通常是組織IT基礎(chǔ)架構(gòu)中至關(guān)重要的一部分，定期應(yīng)用安全更新并進(jìn)行安全態(tài)勢審查非常關(guān)鍵，即使這些過程會(huì)影響網(wǎng)絡(luò)服務(wù)和組件的可用性也必須落實(shí)。

參考資料：crowdstrike.com