VMware Privileged Guest Operasyonları Zafiyeti
16/06/2023Çin Çasus aktörlerinin "privileged guest" operayasyonlarının ifşa edilmiş olan hypervisor sanallaştırma ortamlarında uyguladıkları saldırı örüntüleri, kullandıkları CVSS zaafiyetleri ortaya çıkarıldı. Bu yazımızda ise tespit edilen saldırı örüntülerinin sebep olduğu durumlar ve bu durumların verebilceği zararlar, alınabilecek önlemler gibi maddeler ile potansiyel olarak yapılabilcek saldırılara önlem alınarak korunma yöntemleri açıklanmaktadır.
Öncelikle saldırıyı gerçekleştiren "UNC3886" çin casus grubu son zamanlarda uç nokta cihaz üzerinde tespit yöntemlerini güçlendiren EDR (Endpoint Detection and Response) çözümlerinden kaçınmak amacı ile EDR'ın entegre olamadığı ve desteklemediği platformlar üzerinde saldırılarını gerçekleştirmeyi ilke edinen bir gruptur. Bu nedenle ESXI, Vsphere ve üzerindeki guest host'lar üzerine odaklanmış saldırı çeşitleri kullanmaktadırlar.
Statik IOC'ler yayımlanmasına rağmen saldırıyı gerçekleştiren grup hash, dosya ismi gibi statik yapıları değiştirerek farkedilme risklerini düşürmeyi amaçlamaktadır. Bu nedenle IOC (Indicator comprimise) yerine oluşturulan döküman IOA (Indicator of Attack) örüntülerini içermektedir.
Etkiler
Saldırı Adımları (Sırasıyla)
Vpxuser'I ile istenilen ESXI host'u üzerinde ve üzerinde konumlandırılmış guets VM'Ieri üzerinde komut çalıştırma örüntüler;
Kullanılmakta olan scriptler konumlandırılmış olan ESXI sunucularının ve bu sunuculara bağlı Guest Virtual Machine'larını keşfetmek ve sıralamak amacı ile kullanılmaktadır;
Yapılan saldırıda "vpxuser" kimlik bilgileri kriitk bir önem taşımaktadır. Vpxuser ESXi host'u Vcenter servere'a bağlandığında otomatik olarak oluşturulan ve parolası 30 günlük periotlarla değişen bir yetkili servis hesabıdır.Vcenter serverı yetkili işlem yapmak istediği zaman bahsedilen ilgili servis hesabını kullanmaktadır;
Vpxuser'ı normal şartlar altında encrypted tutulmasına rağmen bu kimlik bilgilerini CVE-2022-22948 zaafiyeti kullanarak elde etmek mümkündür.
İfşa edilmiş olan ESXi host'ları üzerindeki konumlandırılmış VM'lerde çalıştırılan komutlar için çağrılan API'ler;
Managed Object | Methods | Description |
---|---|---|
GuestAliasManager | AddGuestAlias | define alias for guest account |
ListGuestAliases | list guest aliases for specified user | |
ListGuestMappedAliases | list alias map for in-guest user | |
RemoveGuestAliasByCert | remove certificate associated aliases | |
GuestAuthManager | AcquireCredentialsInGuest | authenticate, return session object |
ReleaseCredentialsInGuest | release session object | |
ValidateCredentialsInGuest | check authentication data or timeout | |
GuestFileManager | ChangeFileAttributesInGuest | change attributes of file in guest |
CreateTemporaryDirectoryInGuest | make a temporary directory | |
CreateTemporaryFileInGuest | create a temporary file | |
DeleteDirectoryInGuest | remote directory in guest OS | |
DeleteFileInGuest | remove file in guest OS | |
InitiateFileTransferFromGuest | start file transfer from guest OS | |
InitiateFileTransferToGuest | start file transfer to guest OS | |
ListFilesInGuest | list files or directories in guest | |
MakeDirectoryInGuest | make a directory in guest | |
MoveDirectoryInGuest | move or rename a directory in guest | |
MoveFileInGuest | rename a file in guest | |
GuestWindowsRegistryManager | CreateRegistry KeyInGuest | create a registry key |
DeleteRegistryKeyInGuest | delete a registry key | |
DeleteRegistryValueInGuest | delete a registry value | |
ListReeistryKeysInGuest | list registry subkeys for a given key | |
ListRegistryValuesInGuest | list registry values for a given key | |
SetRegistryValueInGuest | set or create a registry value | |
GuestProcessManager | ListProcessesInGuest | list processes running in guest OS |
ReadEnvironmentVariableInGuest | read environment variable in guest | |
StartProgramInGuest | start running program in guest | |
TerminateProcessInGuest | stop a running process in guest |
Önlemler
https://core.vmware.com/vmware-vsphere-8-security-configuration-guide#use-your-head
Affected Version | Fixed Version |
---|---|
6.5 | 6.5 U3r |
6.7 | 6.7 U3p |
7.0 | 7.0 U3d |
Eğer sanallaştırma ortamında belirtilen versiyonlarda Vcenter bulunmaktaysa versiyonun yamalanarak ilgili zaafiyetin kapatılması tavsiye edilmektedir.