Um backdoor foi encontrado em um servidor de virtualização VMware ESXi pela Juniper Threat Labs. Os relatórios indicam duas vulnerabilidades no serviço OpenSLP do ESXi, CVE-2019-5544 e CVE-2020-3992 têm sido alvo de ataques ativos desde 2019 em servidores ESXi não corrigidos.
“Devido à retenção limitada de logs no host comprometido que investigamos, não podemos ter certeza de qual vulnerabilidade permitiu que hackers acessassem o servidor”, menciona Juniper Threat Labs
Um backdoor Python personalizado para servidores VMWare ESXi
Uma plataforma de virtualização chamada VMware ESXi é frequentemente usada em empresas para executar vários servidores em um único dispositivo, aproveitando com mais eficiência os recursos de CPU e memória.
Os arquivos do sistema do sistema operacional host são mantidos na RAM e quaisquer alterações são apagadas na reinicialização, enquanto as imagens de disco virtual dessas VMs são mantidas no disco físico do ESXi.
Um dos poucos arquivos ESXi que sobrevivem entre reinicializações e são executados na inicialização é “/etc/rc.local.d/local.sh”, e o novo backdoor Python adiciona sete linhas a ele. Os pesquisadores dizem que, por padrão, este arquivo está vazio, exceto comentários que explicam e desencorajam seu uso.
O arquivo de sistema /bin/hostd-probe.sh é executado automaticamente quando o sistema é inicializado e as primeiras sete linhas acrescentam inexplicavelmente uma linha de código a ele.
Uma dessas linhas inicia um script Python salvo como “/store/packages/vmtools.py” em um diretório onde imagens de disco da VM, arquivos de log e outras coisas são mantidas.
“Embora o script Python usado neste ataque seja multiplataforma e possa ser usado com pouca ou nenhuma modificação no Linux ou em outros sistemas semelhantes ao UNIX, há várias indicações de que este ataque foi projetado especificamente para atingir o ESXi”, Relatório da Juniper Networks.
Além disso, o nome do arquivo e sua localização, /store/packages/vmtools.py, foram escolhidos para levantar poucas dúvidas sobre um host de virtualização. Os pesquisadores dizem que o arquivo começa com um copyright da VMware consistente com exemplos disponíveis publicamente e é obtido caractere por caractere de um arquivo Python existente fornecido pela VMware.
O script inicia um servidor web que aceita solicitações POST protegidas por senha dos agentes de ameaças remotos. Portanto, essas solicitações podem enviar ao host uma carga útil de comando shell reverso codificada em base 64.
Além disso, para contornar as restrições do firewall ou contornar a conectividade de rede deficiente, o shell reverso permite que o servidor comprometido inicie a comunicação com o autor da ameaça.
Um shell reverso é uma sessão de terminal que está sendo executada na máquina comprometida, mas é “revertida” porque estabelece a conexão de rede.
“Usar um shell reverso pode contornar as restrições do firewall e funciona mesmo quando a máquina comprometida não está diretamente acessível pela Internet”, pesquisadores
Mudanças na configuração do proxy HTTP reverso ESXi para permitir o acesso remoto para se comunicar com o servidor web plantado foi uma das ações dos atores da ameaça que os analistas da Juniper observaram.
Portanto, quaisquer alterações feitas no arquivo “/etc/vmware/rhttpproxy/endpoints.conf” usado para definir esta nova configuração são persistentes porque também é feito backup e restaurado após uma reinicialização.
Recomendações
- Aplique todos os patches do fornecedor.
- Restrinja conexões de rede de entrada a hosts confiáveis.
- Verifique a existência dos arquivos mencionados acima, seja sua existência ou seu conteúdo. Local. sh deve incluir apenas comentários e uma instrução de saída por padrão.
- Verifique todos os arquivos de sistema persistentes modificados em busca de alterações inesperadas.
