¿Son las máquinas virtuales el nuevo oro para los ciberdelincuentes?


Introducción

La tecnología de virtualización ha sido una piedra angular de TI para la organización durante años. Revolucionó la forma en que las organizaciones pueden escalar los sistemas de TI en un abrir y cerrar de ojos, lo que les permite ser más ágiles en lugar de invertir en hardware dedicado "bare-metal". Para el ojo inexperto, podría parecer que hay diferentes máquinas en la red, mientras que en realidad todas las máquinas "separadas" están controladas por un servidor hipervisor. La virtualización juega un papel tan importante hoy en día que no solo se utiliza para poner en marcha servidores, sino también para cualquier cosa, desde aplicaciones virtuales hasta escritorios de usuarios virtuales.

Esto es algo que los ciberdelincuentes también han notado y hemos visto un mayor interés en los hipervisores. Después de todo, ¿por qué atacar una sola máquina virtual cuando puede ir tras el hipervisor y controlar todas las máquinas a la vez?

En los últimos meses se han lanzado varios CVE de alto impacto con respecto al software de virtualización que permitieron la ejecución remota de código (RCE); Los agentes de acceso inicial ofrecen servidores VMware vCenter comprometidos en línea, así como grupos de ransomware que desarrollan binarios de ransomware específicos para cifrar servidores ESXi.

VMware CVE-2021-21985 y CVE-2021-21986

El 25th de mayo VMware divulgado una vulnerabilidad que afecta a los servidores VMware vCenter que permite la ejecución remota de código en servidores vCenter accesibles por Internet, versión 6.5, 6.7 y 7.0. VMware vCenter es una herramienta de administración que se utiliza para administrar máquinas virtuales y servidores ESXi.

CVE-2021-21985 es una vulnerabilidad de ejecución remota de código (RCE) en vSphere Client a través del complemento de verificación de estado de Virtual SAN (vSAN). Este complemento está habilitado de forma predeterminada. La combinación de RCE y la habilitación predeterminada del complemento dio como resultado que se calificara como un defecto crítico con una puntuación CVSSv3 de 9,8.

Un atacante debe poder acceder a vCenter a través del puerto TCP 443 para aprovechar esta vulnerabilidad. No importa si vCenter está expuesto de forma remota o cuando el atacante tiene acceso interno.

El mismo vector de exploits se aplica a CVE-2021-21986, que es un problema del mecanismo de autenticación en varios complementos de vCenter Server. Permitiría a un atacante ejecutar funciones de complemento sin autenticación. Esto lleva a que el CVE se califique como "gravedad moderada", con una puntuación CVSSv3 de 6,5.

Mientras escribía este blog, se descubrió una prueba de concepto que probará si existe la vulnerabilidad; no ejecutará el código remoto. El complemento Nmap se puede descargar desde esta ubicación: https://github.com/alt3kx/CVE-2021-21985_PoC.

Buscando con la Shodan buscador, reduciéndolo al puerto TCP 443, observamos que cerca de 82,000 Internet accesible ESXi servidores están expuestos. Acercándonos más a las versiones afectadas por estas vulnerabilidades, casi 55,000 en público accesible ESXi los servidores son potencialmente vulnerable a CVE-2021-21985 y CVE-2021-21986, proporcionando acceso remoto a ellos y haciéndolos candidatos potenciales para ataques de ransomware, como veremos en los siguientes párrafos.

Actores de ransomware que buscan entornos virtuales

Los grupos de ransomware siempre están tratando de encontrar formas de golpear a sus víctimas donde más les duele. Entonces, es lógico que se estén adaptando a los entornos de virtualización de ataque y las máquinas nativas de Unix / Linux que ejecutan los hipervisores. En el pasado, los grupos de ransomware se apresuraban a abuso CVE anteriores que afectan a VMware. Pero además de los CVE divulgados, los grupos de ransomware también han adaptado sus binarios específicamente para cifrar las máquinas virtuales y su entorno de gestión. A continuación se muestran algunos de los grupos de ransomware que hemos observado.

DarkSide ransomware

Figura 1. Captura de pantalla del grupo de ransomware DarkSide, que menciona explícitamente su cifrador basado en Linux y la compatibilidad con los sistemas ESXi y NAS

McAfee Advanced Threat Research (ATR) analizó el binario DarkSide Linux en nuestro reciente blog y podemos confirmar que en él está presente una rutina específica dirigida a máquinas virtuales.

Figura 2. Rutina DarkSide VMware Code

A partir del archivo de configuración de la variante DarkSide Linux, queda claro que esta variante está diseñada únicamente para cifrar máquinas virtuales alojadas en un servidor ESXi. Busca los archivos de disco de las VM, los archivos de memoria de las VM (vmem), intercambio, registros, etc., todos los archivos necesarios para iniciar una máquina virtual VMware.

Demostración de Darkside encriptando un servidor ESXi: https://youtu.be/SMWIckvLMoE

Babuk ransomware

Babuk anunció en un foro clandestino que estaba desarrollando un binario multiplataforma dirigido a sistemas Linux / UNIX y ESXi o VMware:

Figura 3. Babuk ransomware que afirma haber creado un binario de ransomware basado en Linux capaz de cifrar servidores ESXi

El malware está escrito en el lenguaje de programación de código abierto Golang, probablemente porque permite a los desarrolladores tener una única base de código para compilarla en los principales sistemas operativos. Esto significa que, gracias al enlace estático, el código escrito en Golang en un sistema Linux puede ejecutarse en un sistema Windows o Mac. Eso presenta una gran ventaja para las bandas de ransomware que buscan cifrar una infraestructura completa compuesta por diferentes arquitecturas de sistemas.

Después de caer en el servidor ESXi, el malware cifra todos los archivos del sistema:

El malware fue diseñado para atacar entornos ESXi como supusimos, y se confirmó cuando el equipo de Babuk devolvió el descifrador llamado d_esxi.out. Desafortunadamente, el descifrador se desarrolló con algunos errores que causan daños en los archivos de la víctima:

En general, el descifrador es deficiente, ya que solo busca la extensión ".babyk", que perderá los archivos que la víctima haya cambiado de nombre para recuperarlos. Además, el descifrador verifica si el archivo tiene más de 32 bytes de longitud, ya que los últimos 32 bytes son la clave que se calculará más adelante con otros valores codificados para obtener la clave final. Este es un mal diseño ya que esos 32 bytes podrían ser basura, en lugar de la clave, ya que el cliente podría hacer cosas, etc. No funciona de manera eficiente comprobando las rutas que se comprueban en el malware, sino que analiza todo. Otro error que notamos fue que el descifrador intenta eliminar un nombre de nota de rescate que es NO el mismo que crea el malware en cada carpeta. Esto no tiene ningún sentido a menos que, quizás, los desarrolladores / operadores de Babuk estén entregando un descifrador que funcione para una versión y / o muestra diferente.

Los problemas con el descifrador de Babuk dejaron a las víctimas en situaciones horribles con datos dañados permanentemente. La probabilidad de obtener un descifrador defectuoso no está persuadiendo a las víctimas de que paguen y esta podría ser una de las principales razones por las que Babuk anunció que dejará de cifrar datos y solo exfiltrará y extorsionará a partir de ahora.

Agentes de acceso inicial que ofrecen máquinas VMware vCenter

No son solo los grupos de ransomware los que muestran interés en los sistemas virtuales; varios agentes de acceso inicial también están negociando el acceso a servidores vCenter / ESXi comprometidos en foros clandestinos de ciberdelincuentes. La fecha y hora de la oferta específica a continuación se superpone con la divulgación de CVE-2021-21985, pero McAfee ATR no ha determinado si este CVE específico se utilizó para obtener acceso a los servidores ESXi.

Figura 4. Actor de amenazas que vende acceso a miles de servidores vCenter / ESXi

Figura 5. Actor de amenazas que ofrece servidores VMware ESXi comprometidos

Consejos de detección y parcheo

VMware insta a los usuarios que ejecutan VMware vCenter y VMware Cloud Foundation afectados por CVE-2021-21985 y CVE-2021-21986 a aplicar su parche inmediatamente. Según VMware, un actor malintencionado con acceso de red al puerto 443 puede aprovechar este problema para ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente que aloja vCenter Server. Las vulnerabilidades reveladas tienen una puntuación básica CVSS crítica de 9,8.

Sin embargo, entendemos que la infraestructura de VMware a menudo se instala en sistemas críticos para el negocio, por lo que cualquier tipo de actividad de parcheo generalmente tiene un alto grado de impacto en las operaciones de TI. Por lo tanto, la brecha entre la divulgación de vulnerabilidades y la aplicación de parches suele ser alta. Dado que los sistemas operativos de VMware son un sistema cerrado, carecen de la capacidad de instalar de forma nativa soluciones de protección / detección de cargas de trabajo. Por lo tanto, las defensas deben basarse en prácticas estándar de higiene cibernética / mitigación de riesgos y deben aplicarse en el siguiente orden siempre que sea posible.

  1. Garantice un inventario preciso de los activos de vCenter y sus correspondientes versiones de software.
  2. Asegure el plano de administración de la infraestructura de vCenter aplicando políticas estrictas de control de acceso a la red para permitir el acceso solo desde redes de administración especiales.
  3. Desactive todos los accesos de Internet a vCenter / VMware Infrastructure.
  4. Aplique los parches de VMware publicados.
  5. McAfee Network Security Platform (NSP) ofrece conjuntos de firmas para la detección de CVE-2021-21985 y CVE-2021-21986.

Conclusión

La virtualización y sus tecnologías subyacentes son clave en las infraestructuras actuales. Con la liberación de vulnerabilidades descubiertas recientemente y la comprensión de su importancia, los actores de amenazas están cambiando de enfoque. La prueba se puede ver en foros clandestinos donde los afiliados reclutan pentesters con conocimiento de tecnologías virtuales específicas para desarrollar ransomware personalizado que está diseñado para paralizar estas tecnologías. El acceso a Escritorio remoto es el vector de acceso número uno en muchos casos de ransomware, seguido de los dispositivos periféricos que carecen de las últimas actualizaciones de seguridad, lo que los hace vulnerables a la explotación. Con los últimos VMware CVE mencionados en este blog, lo instamos a tomar las medidas correctas para proteger no solo los sistemas expuestos a Internet, sino también los sistemas internos, para minimizar el riesgo de que su organización pierda sus valiosas VM u oro a manos de los ciberdelincuentes.

Un agradecimiento especial a Thibault Seret, Mo Cashman, Roy Arnab y Christiaan Beek por sus contribuciones.





Enlace a la noticia original