Juniper Threat Labs tarafından bir VMware ESXi sanallaştırma sunucusunda bir arka kapı bulundu. Raporlar, ESXi’nin OpenSLP hizmetindeki iki güvenlik açığının, CVE-2019-5544 ve CVE-2020-3992’nin, yama uygulanmamış ESXi sunucularında 2019’dan beri aktif vahşi saldırıların hedefi olduğunu söylüyor.
Juniper Threat Labs, “Araştırdığımız güvenliği ihlal edilmiş ana bilgisayardaki sınırlı günlük tutma nedeniyle, hangi güvenlik açığının bilgisayar korsanlarının sunucuya erişmesine izin verdiğinden emin olamayız” diyor.
VMWare ESXi Sunucuları için Özel Python Arka Kapısı
VMware ESXi adlı bir sanallaştırma platformu, işletmelerde CPU ve bellek kaynaklarından daha verimli bir şekilde yararlanırken tek bir cihazda birkaç sunucu çalıştırmak için sıklıkla kullanılır.
Ana işletim sistemi için sistem dosyaları RAM’de tutulur ve tüm değişiklikler yeniden başlatmanın ardından silinirken, bu VM’ler için sanal disk görüntüleri ESXi’nin fiziksel diskinde tutulur.
Yeniden başlatmalar arasında varlığını sürdüren ve başlangıçta çalıştırılan birkaç ESXi dosyasından biri “/etc/rc.local.d/local.sh” dosyasıdır ve yeni Python arka kapısı buna yedi satır ekler. Araştırmacılar, varsayılan olarak bu dosyanın, kullanımını açıklayan ve caydırıcı yorumlar dışında boş olduğunu söylüyor.
/bin/hostd-probe.sh sistem dosyası, sistem önyüklendiğinde otomatik olarak çalıştırılır ve ilk yedi satır, açıklanamaz bir şekilde başına bir kod satırı ekler.
Bu satırlardan biri, VM disk görüntülerinin, günlük dosyalarının ve diğer şeylerin tutulduğu bir dizinde “/store/packages/vmtools.py” olarak kaydedilen bir Python betiğini başlatır.
Juniper Networks’ün raporu, “Bu saldırıda kullanılan Python komut dosyası platformlar arası ve Linux veya diğer UNIX benzeri sistemlerde çok az değişiklikle veya hiç değişiklik yapılmadan kullanılabilse de, bu saldırının özellikle ESXi’yi hedeflemek için tasarlandığına dair çeşitli göstergeler var”, Juniper Networks’ün raporu .
Ayrıca, dosyanın adı ve konumu, /store/packages/vmtools.py, bir sanallaştırma ana bilgisayarı hakkında şüphe uyandırmak için seçildi. Araştırmacılar, dosyanın halka açık örneklerle tutarlı bir VMware telif hakkıyla başladığını ve VMware tarafından sağlanan mevcut bir Python dosyasından karakter karakter alındığını söylüyor.
Komut dosyası, uzak tehdit aktörlerinden parola korumalı POST isteklerini kabul eden bir web sunucusu başlatır. Bu nedenle, bu istekler ana bilgisayara base-64 kodlu bir ters kabuk komut yükü gönderebilir.
Ayrıca, güvenlik duvarı kısıtlamalarını atlamak veya zayıf ağ bağlantısını atlatmak için ters kabuk, güvenliği ihlal edilmiş sunucunun tehdit aktörüyle iletişimi başlatmasını sağlar.
Ters kabuk, güvenliği ihlal edilmiş makinede çalışan bir terminal oturumudur, ancak ağ bağlantısını kurması bakımından “tersine çevrilmiştir”.
Araştırmacılar, “Ters bir kabuk kullanmak, güvenlik duvarı kısıtlamalarını atlayabilir ve güvenliği ihlal edilen makineye internetten doğrudan erişilemediğinde bile çalışır” diyor.
Juniper analistlerinin belirttiğine göre, yerleştirilen web sunucusuyla uzaktan erişimin iletişim kurmasını sağlamak için ESXi ters HTTP proxy yapılandırmasında yapılan değişiklikler, tehdit aktörlerinin eylemlerinden biriydi.
Bu nedenle, bu yeni yapılandırmayı kurmak için kullanılan “/etc/vmware/rhttpproxy/endpoints.conf” dosyasında yapılan tüm değişiklikler kalıcıdır çünkü dosya da yedeklenir ve yeniden başlatmanın ardından geri yüklenir.
öneriler
- Her satıcı yamasını uygulayın.
- Gelen ağ bağlantılarını güvenilir ana bilgisayarlarla sınırlayın.
- Yukarıda belirtilen dosyaların varlığını, varlıklarını veya içeriklerini kontrol edin. Yerel. sh varsayılan olarak yalnızca yorumları ve bir çıkış ifadesini içermelidir.
- Beklenmeyen değişiklikler için değiştirilmiş tüm kalıcı sistem dosyalarını doğrulayın.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin