Barikat Siber Güvenlik Logo

VMware Privileged Guest Operasyonları Zafiyeti

VMware Privileged Guest Operasyonları Zafiyeti  | Barikat Siber Güvenlik

VMware Privileged Guest Operasyonları Zafiyeti

16/06/2023

Çin Çasus aktörlerinin "privileged guest" operayasyonlarının ifşa edilmiş olan hypervisor sanallaştırma ortamlarında uyguladıkları saldırı örüntüleri, kullandıkları CVSS zaafiyetleri ortaya çıkarıldı. Bu yazımızda ise tespit edilen saldırı örüntülerinin sebep olduğu durumlar ve bu durumların verebilceği zararlar, alınabilecek önlemler gibi maddeler ile potansiyel olarak yapılabilcek saldırılara önlem alınarak korunma yöntemleri açıklanmaktadır.

Öncelikle saldırıyı gerçekleştiren "UNC3886" çin casus grubu son zamanlarda uç nokta cihaz üzerinde tespit yöntemlerini güçlendiren EDR (Endpoint Detection and Response) çözümlerinden kaçınmak amacı ile EDR'ın entegre olamadığı ve desteklemediği platformlar üzerinde saldırılarını gerçekleştirmeyi ilke edinen bir gruptur. Bu nedenle ESXI, Vsphere ve üzerindeki guest host'lar üzerine odaklanmış saldırı çeşitleri kullanmaktadırlar.

Statik IOC'ler yayımlanmasına rağmen saldırıyı gerçekleştiren grup hash, dosya ismi gibi statik yapıları değiştirerek farkedilme risklerini düşürmeyi amaçlamaktadır. Bu nedenle IOC (Indicator comprimise) yerine oluşturulan döküman IOA (Indicator of Attack) örüntülerini içermektedir.

Etkiler

  • Vcenter Server Appliance arkasında çalışan vPostgreSQL data base'inden kimlik bilgilerinin toplanması
  • CVE-2023-20867 zaafiyetini kullanarak Windows, Linux ve PhotonOS guest VM'lerinde yetkili komut çalıştırması
  • ESXi host'larına socket üzerinden backdoor bırakılması
  • VMCI kullanarak yatayda yayılım ve içerde kalma süresini arttırılması
  • Saldırı Adımları (Sırasıyla)

  • Saldırgan Vcenter üzerinde yetkili erişim sağlaması
  • Vcenter üzerinde konumlandırılaran" vpxuser" kimlik bilgilerinin çekilmesi
  • Çalınan kullanıcı bilgileri ile ESXI host'larına erişim sağlaması
  • ESXI hostuna zararlı VIB (vSphere Installation Bundle) deployment'ının gerçekleştirilmesi
  • VIRTUALPITA ve VIRTUALPIE kullanılarak backdoor yerleştirilmesi
  • CVE-2023-20867 zaafiyetinin ifşa, edilen ESXI host'larında kullanılarak guest VM'lerde unauthenticated komut çalıştırmak
  • Vpxuser'I ile istenilen ESXI host'u üzerinde ve üzerinde konumlandırılmış guets VM'Ieri üzerinde komut çalıştırma örüntüler;


    VMware Privileged Guest

    Kullanılmakta olan scriptler konumlandırılmış olan ESXI sunucularının ve bu sunuculara bağlı Guest Virtual Machine'larını keşfetmek ve sıralamak amacı ile kullanılmaktadır;

  • ESXI hostlarda konumlandırılmış "vpxuser" kullanıcı bilgilerinin açık text halinde elde edilmesi,
  • Vcenter'a bağlı olan tüm ESXI hostların ve hostlara bağlı guest VM'lerin keşfedilmesi
  • Tüm bağlı ESXi üzerinde belirli hizmet (Default sshServer) için izin verilen IP adresi listelerinde ekleme veya çıkarma işleminin gerçekleştirilmesi
  • Yapılan saldırıda "vpxuser" kimlik bilgileri kriitk bir önem taşımaktadır. Vpxuser ESXi host'u Vcenter servere'a bağlandığında otomatik olarak oluşturulan ve parolası 30 günlük periotlarla değişen bir yetkili servis hesabıdır.Vcenter serverı yetkili işlem yapmak istediği zaman bahsedilen ilgili servis hesabını kullanmaktadır;

  • VM'in ESXi hostunu değiştirmek
  • VM konfigürasyonlarını değiştirmek vb.
  • Vpxuser'ı normal şartlar altında encrypted tutulmasına rağmen bu kimlik bilgilerini CVE-2022-22948 zaafiyeti kullanarak elde etmek mümkündür.

    İfşa edilmiş olan ESXi host'ları üzerindeki konumlandırılmış VM'lerde çalıştırılan komutlar için çağrılan API'ler;

      Managed Object Methods Description
      GuestAliasManager AddGuestAlias define alias for guest account
      ListGuestAliases list guest aliases for specified user
      ListGuestMappedAliases list alias map for in-guest user
      RemoveGuestAliasByCert remove certificate associated aliases
      GuestAuthManager AcquireCredentialsInGuest authenticate, return session object
      ReleaseCredentialsInGuest release session object
      ValidateCredentialsInGuest check authentication data or timeout
      GuestFileManager ChangeFileAttributesInGuest change attributes of file in guest
      CreateTemporaryDirectoryInGuest make a temporary directory
      CreateTemporaryFileInGuest create a temporary file
      DeleteDirectoryInGuest remote directory in guest OS
      DeleteFileInGuest remove file in guest OS
      InitiateFileTransferFromGuest start file transfer from guest OS
      InitiateFileTransferToGuest start file transfer to guest OS
      ListFilesInGuest list files or directories in guest
      MakeDirectoryInGuest make a directory in guest
      MoveDirectoryInGuest move or rename a directory in guest
      MoveFileInGuest rename a file in guest
      GuestWindowsRegistryManager CreateRegistry KeyInGuest create a registry key
      DeleteRegistryKeyInGuest delete a registry key
      DeleteRegistryValueInGuest delete a registry value
      ListReeistryKeysInGuest list registry subkeys for a given key
      ListRegistryValuesInGuest list registry values for a given key
      SetRegistryValueInGuest set or create a registry value
      GuestProcessManager ListProcessesInGuest list processes running in guest OS
      ReadEnvironmentVariableInGuest read environment variable in guest
      StartProgramInGuest start running program in guest
      TerminateProcessInGuest stop a running process in guest

    Önlemler

  • CVE-2023-20867 VM'ler üzerinde uzaktan komut çalıştırılmasını sağlayan zaafiyet için vmware tüm müşterilerinin Vmware tool'larının update edilmesini ve yayınladıkları sıkılaştırma dokümantasyonu çevresinde sanallaştırma ortamlarındaki gerekli sıkılaştırmaların yapılmasını tavsiye etmektedir;
    https://core.vmware.com/vmware-vsphere-8-security-configuration-guide#use-your-head
  • CVE-2022-22948 zaafiyeti ile encrypted "vpxuser" kimlik bilgilerinin açık metin olarak elde edilmesine sebebiyet veren zaafiyet Vmware vCenter Server 6.5/6.7/.70 versiyonlarında etkilidir ;
    • Affected Version Fixed Version
      6.5 6.5 U3r
      6.7 6.7 U3p
      7.0 7.0 U3d

    Eğer sanallaştırma ortamında belirtilen versiyonlarda Vcenter bulunmaktaysa versiyonun yamalanarak ilgili zaafiyetin kapatılması tavsiye edilmektedir.

    Sosyal Medyada Paylaş