Um backdoor Python não documentado anteriormente visando servidores VMware ESXi foi detectado, permitindo que hackers executem comandos remotamente em um sistema comprometido.

O VMware ESXi é uma plataforma de virtualização comumente usada na empresa para hospedar vários servidores em um dispositivo enquanto usa recursos de CPU e memória com mais eficiência.

O novo backdoor foi descoberto por  pesquisadores da Juniper Networks , que encontraram o backdoor em um servidor VMware ESXi. No entanto, eles não conseguiram determinar como o servidor foi comprometido devido à retenção limitada de logs.

Eles acreditam que o servidor pode ter sido comprometido usando as vulnerabilidades CVE-2019-5544 e CVE-2020-3992 no serviço OpenSLP do ESXi.

Embora o malware também seja tecnicamente capaz de atingir sistemas Linux e Unix, os analistas da Juniper encontraram várias indicações de que ele foi projetado para ataques contra o ESXi.

Operação backdoor

O novo backdoor python adiciona sete linhas dentro de "/etc/rc.local.d/local.sh", um dos poucos arquivos ESXi que sobrevivem entre as reinicializações e é executado na inicialização.

Normalmente, esse arquivo está vazio, exceto por alguns comentários consultivos e uma declaração de saída.

Linhas adicionais adicionadas ao arquivo ESXi
Linhas adicionais adicionadas no arquivo ESXi (Juniper Networks)
Uma dessas linhas inicia um script Python salvo como "/store/packages/vmtools.py," em um diretório que armazena imagens de disco VM, logs e muito mais.

O nome e a localização do script fazem a Juniper Networks acreditar que os operadores de malware pretendem atingir especificamente os servidores VMware ESXi.

“Embora o script Python usado neste ataque seja multiplataforma e possa ser usado com pouca ou nenhuma modificação no Linux ou em outros sistemas semelhantes ao UNIX, há várias indicações de que esse ataque foi projetado especificamente para atingir o ESXi”, explica a Juniper Networks. relatório .

"O nome do arquivo e sua localização, /store/packages/vmtools.py, foram escolhidos para levantar poucas suspeitas em um host de virtualização."

"O arquivo começa com um copyright da VMware consistente com exemplos publicamente disponíveis e é obtido caractere por caractere de um arquivo Python existente fornecido pela VMware."

Esse script inicia um servidor da Web que aceita solicitações POST protegidas por senha dos agentes de ameaças remotas. Essas solicitações podem transportar uma carga de comando codificada em base 64 ou iniciar um shell reverso no host.

O shell reverso faz com que o servidor comprometido inicie a conexão com o agente da ameaça, uma técnica que geralmente ajuda a contornar as restrições do firewall ou contorna a conectividade de rede limitada.

Uma das ações dos agentes de ameaças observadas pelos analistas da Juniper foi alterar a configuração do proxy HTTP reverso do ESXi para permitir o acesso remoto para se comunicar com o servidor da web implantado.

Como o arquivo usado para definir essa nova configuração, "/etc/vmware/rhttpproxy/endpoints.conf," também é feito backup e restaurado após a reinicialização, quaisquer modificações nele são persistentes.

Mitigação

Para determinar se esse backdoor afetou seus servidores ESXi, verifique a existência dos arquivos mencionados acima e as linhas adicionais no arquivo "local.sh".

Todos os arquivos de configuração que persistem nas reinicializações devem ser examinados quanto a alterações suspeitas e revertidos para as configurações corretas.

Por fim, os administradores devem restringir todas as conexões de rede recebidas a hosts confiáveis, e as atualizações de segurança disponíveis que tratam das explorações usadas para o comprometimento inicial devem ser aplicadas o mais rápido possível.
Postagem Anterior Próxima Postagem

Compartilhe nas redes sociais e apoie ou retribua

Todos os nossos artigos são exclusivos é proibida a reprodução total ou parcial dos mesmos sem a indicação da fonte SHD: Sejahojediferente.com