Il nuovo malware Python esegue backdoor sui server VMware ESXi per l'accesso remoto
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 13 Dicembre 2022
Tags: #sicurezza, #malware, #Python, #VMware
Tags: #sicurezza, #malware, #Python, #VMware
Il nuovo malware Python esegue backdoor sui server VMware ESXi per l'accesso remoto
È stata individuata una backdoor Python precedentemente non documentata destinata ai server VMware ESXi, che consente agli hacker di eseguire comandi in remoto su un sistema compromesso.
VMware ESXi è una piattaforma di virtualizzazione comunemente utilizzata in azienda per ospitare numerosi server su un dispositivo utilizzando le risorse di CPU e memoria in modo più efficace.
La nuova backdoor è stata scoperta dai ricercatori di Juniper Networks, che hanno trovato la backdoor su un server VMware ESXi. Tuttavia, non sono stati in grado di determinare in che modo il server è stato compromesso a causa della conservazione limitata dei registri.
Ritengono che il server possa essere stato compromesso utilizzando le vulnerabilità CVE-2019-5544 e CVE-2020-3992 nel servizio OpenSLP di ESXi.
Sebbene il malware sia tecnicamente in grado di prendere di mira anche i sistemi Linux e Unix, gli analisti di Juniper hanno riscontrato molteplici indicazioni che è stato progettato per attacchi contro ESXi.
Operazione backdoor
La nuova backdoor python aggiunge sette righe all'interno di "/etc/rc.local.d/local.sh", uno dei pochi file ESXi che sopravvivono tra i riavvii e viene eseguito all'avvio.
Di solito, quel file è vuoto, a parte alcuni commenti di avviso e una dichiarazione di uscita.
Una di queste righe avvia uno script Python salvato come "/store/packages/vmtools.py" in una directory che memorizza immagini disco VM, registri e altro.
Il nome e la posizione dello script fanno credere a Juniper Networks che gli operatori di malware intendano prendere di mira specificamente i server VMware ESXi.
"Sebbene lo script Python utilizzato in questo attacco sia multipiattaforma e possa essere utilizzato con poche o nessuna modifica su Linux o altri sistemi simili a UNIX, ci sono diverse indicazioni che questo attacco è stato progettato specificamente per prendere di mira ESXi", spiega Juniper Networks. rapporto.
"Il nome del file e la sua posizione, /store/packages/vmtools.py, sono stati scelti per destare pochi sospetti su un host di virtualizzazione."
"Il file inizia con un copyright VMware coerente con esempi pubblicamente disponibili ed è preso carattere per carattere da un file Python esistente fornito da VMware."
Questo script avvia un server Web che accetta richieste POST protette da password dagli attori delle minacce remote. Queste richieste possono trasportare un payload di comando codificato in base 64 o avviare una shell inversa sull'host.
La shell inversa fa sì che il server compromesso avvii la connessione con l'autore della minaccia, una tecnica che spesso aiuta a bypassare le restrizioni del firewall o aggira la connettività di rete limitata.
Una delle azioni degli attori delle minacce osservate dagli analisti di Juniper è stata quella di modificare la configurazione del proxy HTTP inverso di ESXi per consentire l'accesso remoto per comunicare con il server Web installato.
Poiché anche il file utilizzato per impostare questa nuova configurazione, "/etc/vmware/rhttpproxy/endpoints.conf", viene sottoposto a backup e ripristinato dopo il riavvio, qualsiasi modifica su di esso è persistente.
Mitigare
Per determinare se questa backdoor ha avuto un impatto sui tuoi server ESXi, controlla l'esistenza dei file sopra menzionati e le righe aggiuntive nel file "local.sh".
Tutti i file di configurazione che persistono durante i riavvii devono essere esaminati alla ricerca di modifiche sospette e riportati alle impostazioni corrette.
Infine, gli amministratori dovrebbero limitare tutte le connessioni di rete in entrata a host attendibili e gli aggiornamenti di sicurezza disponibili che risolvono gli exploit utilizzati per la compromissione iniziale dovrebbero essere applicati il prima possibile.