Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers implantam novo malware Python no servidor VMware ESXi para obter acesso remoto

Um backdoor foi encontrado em um servidor de virtualização VMware ESXi pela Juniper Threat Labs. Os relatórios indicam duas vulnerabilidades no serviço OpenSLP do ESXi, CVE-2019-5544 e CVE-2020-3992 têm sido alvo de ataques ativos desde 2019 em servidores ESXi não corrigidos.

‚ÄúDevido √† reten√ß√£o limitada de logs no host comprometido que investigamos, n√£o podemos ter certeza de qual vulnerabilidade permitiu que hackers acessassem o servidor‚ÄĚ, menciona Juniper Threat Labs

Um backdoor Python personalizado para servidores VMWare ESXi

Uma plataforma de virtualiza√ß√£o chamada VMware ESXi √© frequentemente usada em empresas para executar v√°rios servidores em um √ļnico dispositivo, aproveitando com mais efici√™ncia os recursos de CPU e mem√≥ria.

Os arquivos do sistema do sistema operacional host s√£o mantidos na RAM e quaisquer altera√ß√Ķes s√£o apagadas na reinicializa√ß√£o, enquanto as imagens de disco virtual dessas VMs s√£o mantidas no disco f√≠sico do ESXi.

Um dos poucos arquivos ESXi que sobrevivem entre reinicializa√ß√Ķes e s√£o executados na inicializa√ß√£o √© ‚Äú/etc/rc.local.d/local.sh‚ÄĚ, e o novo backdoor Python adiciona sete linhas a ele. Os pesquisadores dizem que, por padr√£o, este arquivo est√° vazio, exceto coment√°rios que explicam e desencorajam seu uso.

O arquivo de sistema /bin/hostd-probe.sh é executado automaticamente quando o sistema é inicializado e as primeiras sete linhas acrescentam inexplicavelmente uma linha de código a ele.

Uma dessas linhas inicia um script Python salvo como ‚Äú/store/packages/vmtools.py‚ÄĚ em um diret√≥rio onde imagens de disco da VM, arquivos de log e outras coisas s√£o mantidas.

‚ÄúEmbora o script Python usado neste ataque seja multiplataforma e possa ser usado com pouca ou nenhuma modifica√ß√£o no Linux ou em outros sistemas semelhantes ao UNIX, h√° v√°rias indica√ß√Ķes de que este ataque foi projetado especificamente para atingir o ESXi‚ÄĚ, Relat√≥rio da Juniper Networks.

N√≥s recomendamos:  Golpes online: mensagens perigosas ainda circulam para os usu√°rios

Al√©m disso, o nome do arquivo e sua localiza√ß√£o, /store/packages/vmtools.py, foram escolhidos para levantar poucas d√ļvidas sobre um host de virtualiza√ß√£o. Os pesquisadores dizem que o arquivo come√ßa com um copyright da VMware consistente com exemplos dispon√≠veis publicamente e √© obtido caractere por caractere de um arquivo Python existente fornecido pela VMware.

O script inicia um servidor web que aceita solicita√ß√Ķes POST protegidas por senha dos agentes de amea√ßas remotos. Portanto, essas solicita√ß√Ķes podem enviar ao host uma carga √ļtil de comando shell reverso codificada em base 64.

Al√©m disso, para contornar as restri√ß√Ķes do firewall ou contornar a conectividade de rede deficiente, o shell reverso permite que o servidor comprometido inicie a comunica√ß√£o com o autor da amea√ßa.

Um shell reverso √© uma sess√£o de terminal que est√° sendo executada na m√°quina comprometida, mas √© ‚Äúrevertida‚ÄĚ porque estabelece a conex√£o de rede.

‚ÄúUsar um shell reverso pode contornar as restri√ß√Ķes do firewall e funciona mesmo quando a m√°quina comprometida n√£o est√° diretamente acess√≠vel pela Internet‚ÄĚ, pesquisadores

Mudan√ßas na configura√ß√£o do proxy HTTP reverso ESXi para permitir o acesso remoto para se comunicar com o servidor web plantado foi uma das a√ß√Ķes dos atores da amea√ßa que os analistas da Juniper observaram.

Portanto, quaisquer altera√ß√Ķes feitas no arquivo ‚Äú/etc/vmware/rhttpproxy/endpoints.conf‚ÄĚ usado para definir esta nova configura√ß√£o s√£o persistentes porque tamb√©m √© feito backup e restaurado ap√≥s uma reinicializa√ß√£o.

Recomenda√ß√Ķes

  • Aplique todos os patches do fornecedor.
  • Restrinja conex√Ķes de rede de entrada a hosts confi√°veis.
  • Verifique a exist√™ncia dos arquivos mencionados acima, seja sua exist√™ncia ou seu conte√ļdo. Local. sh deve incluir apenas coment√°rios e uma instru√ß√£o de sa√≠da por padr√£o.
  • Verifique todos os arquivos de sistema persistentes modificados em busca de altera√ß√Ķes inesperadas.
N√≥s recomendamos:  Dicas de promo√ß√£o: Como obter destaque da imprensa para o seu filme