Seit 2020 hat CrowdStrike zunehmend beobachtet, dass Big Game Hunting (BGH)-Bedrohungsakteure Linux-Versionen von Ransomware-Tools einsetzen, die speziell für den VMWare ESXi vSphere-Hypervisor entwickelt wurden (lesen Sie Teil 1 und Teil 2 dieser Serie).
Im ersten Quartal 2023 hat sich dieser Trend fortgesetzt: Ransomware-as-a-Service (RaaS)-Plattformen wie Alphv, Lockbit und Defray – von CrowdStrike Intelligence als ALPHA SPIDER, BITWISE SPIDER bzw. SPRITE SPIDER identifiziert – wurden genutzt, um ESXi anzugreifen. Dieser Trend ist besonders bemerkenswert, da ESXi von Haus aus keine Agenten oder Antiviren-Software von Drittanbietern unterstützt und VMware in seiner Dokumentation darauf hinweist, dass eine Antiviren-Software nicht erforderlich ist. Dies in Kombination mit der Beliebtheit von ESXi als weit verbreitetes und beliebtes Virtualisierungs- und Managementsystem macht den Hypervisor zu einem äußerst attraktiven Ziel für moderne Angreifer.
Was ist ESXi?
ESXi ist ein Typ-1-Hypervisor (auch „Bare-Metal“-Hypervisor genannt), der von VMware entwickelt wurde. Ein Hypervisor ist eine Software, die virtuelle Maschinen (VMs) ausführt und verwaltet. Im Gegensatz zu Typ-2-Hypervisoren, die auf einem herkömmlichen Host-Betriebssystem laufen, wird ein Typ-1-Hypervisor direkt auf der Hardware eines dedizierten Hosts ausgeführt. ESXi-Systeme werden in der Regel von vCenter verwaltet, einem zentralen Server-Verwaltungstool, das mehrere ESXi-Geräte steuern kann. ESXi ist zwar kein Linux-Betriebssystem, aber es ist möglich, einige Linux-kompilierte ELF-Binärdateien innerhalb der ESXi-Befehlsshell auszuführen.
Zu den relevanten VMWare-Produkten im Zusammenhang mit der ESXi-Plattform gehören:
- ESXi (oder vSphere Hypervisor): fungiert als Server, der aus einer Hypervisor-Komponente, einer Identitäts- und Verwaltungskomponente und einer an die Serverhardware gebundenen Ressourcenmanagement-Komponente besteht
- vCenter: die Identitäts- und Verwaltungskomponente sowie ein vollständiger Ressourcenmanager für eine Flotte von ESXi-Servern
- ONE Access (oder Identity Manager): bietet Single-Sign-On-Lösungen (SSO) für die Verbindung mit vCenter oder ESXi
- Horizon: Die Lösung von VMware für das vollständige Management der virtuellen Architektur
Der Stand der ESXi-Sicherheit
VMWare weist darauf hin, dass „Antiviren-Software für den vSphere Hypervisor nicht erforderlich ist und die Verwendung solcher Software nicht unterstützt wird1“.
Neben dem Mangel an Sicherheitstools für ESXi, der durch die fehlende Unterstützung verstärkt wird, werden mehrere Schwachstellen aktiv von Bedrohungsakteuren ausgenutzt. Im Februar 2023 meldete das französische Computer Emergency Response Team (CERT-FR), dass eine Ransomware-Kampagne – öffentlich als ESXiArgs verfolgt – beobachtet wurde, die auf über das Internet zugängliche VMware ESXi-Hypervisoren abzielt, die für CVE-2020-3992 oder CVE-2021-21974 anfällig sind.
Beide Schwachstellen zielen auf den OpenSLP-Dienst in ESXi-Hypervisoren ab. CVE-2021-21974 ermöglicht es einem nicht authentifizierten, netznahen Angreifer, beliebigen Code auf betroffenen VMware ESXi-Instanzen auszuführen, wurde aber bisher noch nicht in freier Wildbahn ausgenutzt (ITW).
CVE-2020-3992 – die von ITW ausgenutzt wurde – ermöglicht es einem nicht authentifizierten Angreifer, der sich im Verwaltungsnetzwerk befindet und Zugriff auf Port 427 auf einer ESXi-Maschine hat, ein Use-after-free-Problem im OpenSLP-Dienst auszulösen, was zu Remotecodeausführung (RCE) führt. In öffentlichen Berichten wurde auch die ITW-Sicherheitslücke CVE-2019-5544 identifiziert2, die sich in ähnlicher Weise auf den OpenSLP-Dienst auswirkt und RCE auf kompromittierten Systemen ermöglicht.
In den öffentlich gemeldeten Fällen der Ausnutzung von CVE-2020-3992 und CVE-2021-21974 haben Bedrohungsakteure eine Python-Hintertür mit dem Namen vmtools.py im Dateipfad /store/packages/ bereitgestellt; dieser Dateiname und Dateipfad stimmen mit dem Inhalt eines Shell-Skripts überein, das ein Benutzer in einem öffentlichen Forum im Zusammenhang mit aktuellen ESXiArgs-Aktivitäten geteilt hat.
Das Problem wird immer schlimmer
Die virtuellen Infrastrukturprodukte von VMware sind äußerst attraktive Ziele für Angreifer, da dieser Anbieter im Bereich der Virtualisierung eine Vormachtstellung einnimmt und die VMware-Produktlinie häufig eine entscheidende Komponente des Virtualisierungs- und Managementsystems der IT-Infrastruktur eines Unternehmens darstellt.
Immer mehr Bedrohungsakteure erkennen, dass das Fehlen von Sicherheitstools, das Fehlen einer angemessenen Netzwerksegmentierung von ESXi-Schnittstellen und ITW-Schwachstellen für ESXi eine angriffsstarke Umgebung schaffen. Im April 2023 identifizierte CrowdStrike Intelligence beispielsweise ein neues RaaS-Programm namens MichaelKors, das Partner mit Ransomware-Binärdateien versorgt, die auf Windows- und ESXi/Linux-Systeme abzielen. Andere RaaS-Plattformen, die auf ESXi-Umgebungen abzielen können, wie z. B. Nevada-Ransomware, wurden ebenfalls gestartet.
Ende September 2022 entdeckten und dokumentierten Mandiant-Forscher ein neuartiges Malware-Ökosystem, das in erster Linie auf VMware ESXi- und VMware vCenter-Server abzielt und als bösartiges Remote-Administrationstool (RAT)3 eingesetzt wird. Das RAT ermöglicht die Persistenz auf kompromittierten Servern sowie die Interaktion mit den zugrunde liegenden virtuellen Maschinen und die Extraktion sensibler Informationen.
Ende 2022 beobachtete CrowdStrike Intelligence, dass ALPHA SPIDER Cobalt Strike-Varianten zur Durchführung von Post-Exploitation-Aktivitäten auf ESXi-Servern sowie SystemBC-Varianten zur Aufrechterhaltung der Persistenz in Netzwerken über kompromittierte vCenter-Server verwendete. Darüber hinaus nutzte SCATTERED SPIDER das Open-Source-Proxy-Tool rsocx, um den Zugang zu ESXi-Servern der Opfer aufrechtzuerhalten.
CrowdStrike Intelligence geht außerdem davon aus, dass eine Vielzahl namentlich genannter Angreifer – darunter NEMESIS KITTEN, SILENT CHOLLIMA und eCrime-Akteure wie PROPHET SPIDER – Log4Shell (CVE-2021-44228) verwendet haben, um VMware Horizon-Instanzen in einer Vielzahl von Branchen und Regionen zu kompromittieren.
Das Anvisieren virtueller Infrastrukturkomponenten bietet Angreifern zahlreiche Vorteile, darunter die Vervielfachung der Auswirkungen einer einzigen Kompromittierung oder die Unterwanderung von Erkennungs- und Präventionsmechanismen, da die anvisierten Komponenten häufig nicht ausreichend durch Sicherheitslösungen geschützt sind. Da VMware-Produkte in der Vergangenheit mit kritischen Schwachstellen behaftet waren, werden Angreifer wahrscheinlich auch weiterhin auf potenzielle Schwachstellen abzielen, da erfolgreiche Kompromittierungen in der Regel Zugang zu hochwertigen Ressourcen bieten.
Angriffsvektoren
Diebstahl von Anmeldeinformationen
Der einfachste Angriffsvektor gegen einen ESXi-Hypervisor ist der Diebstahl von Benutzeranmeldeinformationen. Nach dem Diebstahl der Anmeldeinformationen kann sich ein Angreifer einfach am Server authentifizieren, um den Angriff auf der Grundlage der Ziele des Angreifers voranzutreiben. Wenn ein Angreifer über ausreichende Privilegien verfügt, um die SSH-Konsole zu aktivieren und darauf zuzugreifen, kann beliebiger Code direkt ausgeführt werden, selbst auf den neuesten ESXi-Versionen.
Wenn das kompromittierte Konto Zugriff auf die Netzwerkverwaltungsfunktionen der VM bietet, kann der Angreifer die VM möglicherweise so umkonfigurieren, dass sie als Proxy für den Zugriff auf das interne Netzwerk fungiert. Wenn ein kompromittiertes Konto außerdem nur Zugriff auf eine Reihe von VMs bietet, können Schwachstellen in der Konfiguration oder im virtualisierten Betriebssystem gezielt genutzt werden, um in das Zielnetzwerk vorzudringen.
Sobald ein Angreifer mit eingeschränkten Rechten Zugang zu einem ESXi-Server erlangt hat, ist die Ausweitung der Rechte in der Regel der entscheidende Zwischenschritt zwischen dem anfänglichen Zugriff und dem Erreichen des eigentlichen Ziels. Die als CVE-2016-7463, CVE-2017-4940 und CVE-2020-3955 verfolgten Cross-Site-Scripting-Schwachstellen (XSS) können potenziell als Mittel eingesetzt werden, um einen privilegierten Benutzer zur Ausführung von Code zu verleiten. CVE-2020-3955 kann beispielsweise ausgenutzt werden, indem zunächst eine bösartige Nutzlast in die VM-Eigenschaften (z. B. den Hostnamen) eingebettet wird und dann ein Systemadministrator dazu gebracht wird, über die VMware-Verwaltungsoberfläche auf diese bösartigen Eigenschaften zuzugreifen. Es ist bekannt, dass keine dieser XSS-Schwachstellen von ITW ausgenutzt wird. Eine weitere Schwachstelle zur Ausweitung von Privilegien – CVE-2021-22043 – ermöglicht es einem Benutzer mit Zugriff auf Einstellungen, seine Privilegien auszuweiten; zum Zeitpunkt der Erstellung dieses Dokuments ist jedoch kein Proof-of-Concept-Code (POC) oder waffenfähiger Exploit-Code für diese Schwachstelle öffentlich verfügbar. Außerdem ist CrowdStrike Intelligence nicht bekannt, dass ITW diese Schwachstelle ausgenutzt hat.
Branchenberichten zufolge scheint der Diebstahl von Anmeldeinformationen der primäre Angriffsvektor von Angreifern zu sein, die auf ESXi-Server abzielen4. Darüber hinaus zeigen die von CrowdStrike Intelligence beobachteten Vorfälle, dass sich Angreifer in der Regel auf anderem Wege Zugang zu einem Zielnetzwerk verschaffen und dann versuchen, ESXi-Anmeldedaten zu sammeln, um das endgültige Ziel zu erreichen, wie z. B. die Bereitstellung von Ransomware. In all diesen Fällen waren die erlangten Anmeldedaten ausreichend privilegiert, um beliebigen Code direkt auszuführen.
Zugriff auf virtuelle Maschinen
Wie im Abschnitt „Was ist ESXi?“ beschrieben, kann auf VMs auf zwei Arten zugegriffen werden: direkt oder über ESXi über die Verwaltungsoberfläche. Die Beschreibung des Diebstahls von Anmeldeinformationen oben bezieht sich auf die letztere Methode und wird hier nicht wiederholt.
Wenn auf VMs direkt zugegriffen werden kann, sind die folgenden zwei Szenarien möglich:
- Wenn die VM nicht ausreichend vom Rest des internen Netzwerks getrennt ist, kann sie potenziell als Proxy für die seitliche Bewegung durch das Netzwerk fungieren, wodurch Angriffe auf den ESXi-Server unnötig werden.
- Wenn eine zugängliche, ordnungsgemäß abgetrennte VM der einzige Einstiegspunkt in ein Netzwerk ist – und es dem Angreifer daher nicht ermöglicht, weiter in das Netzwerk einzudringen – muss der Angreifer direkt auf den ESXi-Hypervisor abzielen, um Code auf Hypervisor-Ebene auszuführen. Letztere muss verwaltet werden (d. h. es gibt einen Netzwerkpfad zu weiteren Maschinen innerhalb des Netzwerks vom ESXi-Hypervisor aus). Um den zugrunde liegenden Hypervisor von einer VM aus anzugreifen, benötigen Angreifer in der Regel einen VM-Escape-Exploit.
Es gibt zwei Methoden zur Realisierung von VM-Escapes: Die erste besteht darin, die Virtualisierungskomponente des Hypervisors anzugreifen, z. B. eine Schwachstelle, die die Hardware-Emulationskomponenten des Hypervisors betrifft. Ein solcher Exploit erfordert häufig Privilegien auf Kernel-Ebene der VM, was bedeutet, dass ein zusätzlicher Exploit erforderlich ist, um die VM anzugreifen. Die zweite Methode besteht darin, eine Schwachstelle im Hypervisor auszunutzen, die über das Netzwerk erreichbar ist und die VM nutzt, um bösartige Netzwerkpakete an den Hypervisor zu übertragen.
Von den etwa 40 Schwachstellen, die ein Entkommen der VM über die Virtualisierungskomponente ermöglichen, zielen nur zwei – CVE-2012-1517 und CVE-2012-1516 – auf eine Kommunikationskomponente zwischen der VM und dem Hypervisor in älteren Versionen von ESXi (3.5 bis 4.1) ab. Alle anderen Schwachstellen zielen auf emulierte Geräte, wie USB (CVE-2022-31705, CVE-2021-22041, CVE-2021-22040), CD-ROM (CVE-2021-22045) oder SVGA (CVE-2020-3969, CVE-2020-3962).
Da mit Version 6.5 von ESXi VMX-Sandboxing eingeführt wurde, umfasst ein potenzieller VM-Escape-Angriff, der die Virtualisierungskomponente von ESXi ausnutzt, mindestens drei verschiedene Exploits, wie unten dargestellt:
- Der Angreifer kompromittiert eine VM auf Kernel-Ebene durch einen ersten Exploit.
- Anschließend zielt der Angreifer mit einem zweiten Exploit auf ein Gerät innerhalb der VM ab, um die Ausführung von Code im VMX-Prozess zu erreichen.
- Der Angreifer führt dann einen dritten Exploit aus, der ein Entkommen aus der VMX-Sandbox ermöglicht.
- Schließlich benötigt der Angreifer möglicherweise einen vierten Exploit, um seine Rechte auf dem Hypervisor zu erweitern.
Zum Zeitpunkt der Erstellung dieses Artikels gibt es keinen öffentlich zugänglichen POC-Code für eine solche Exploit-Kette, und die Dokumentation dieser Art von Schwachstellen ist spärlich. Aufgrund der Komplexität dieses Angriffs verfügen wahrscheinlich nur fortgeschrittene Akteure – z. B. staatliche Angreifer – über die erforderlichen Fähigkeiten.
Wie Sie Ihren Cluster schützen können
Im Folgenden sind die fünf wichtigsten Empfehlungen von CrowdStrike aufgeführt, die Unternehmen umsetzen sollten, um den Erfolg bzw. die Auswirkungen von Hypervisor Jackpotting einzudämmen.
- Vermeiden Sie den direkten Zugriff auf ESXi-Hosts. Verwenden Sie den vSphere Client zur Verwaltung von ESXi-Hosts, die von einem vCenter Server verwaltet werden. Greifen Sie nicht direkt mit dem VMware Host Client auf verwaltete Hosts zu und ändern Sie verwaltete Hosts nicht über die Direct Console User Interface (DCUI). (Hinweis: Dies ist eine VMware-spezifische Empfehlung.)
- Wenn der direkte Zugriff auf einen ESXi-Host erforderlich ist, verwenden Sie einen gehärteten Jump-Server mit Multifaktor-Authentifizierung (MFA). Der ESXi-Zugriff sollte auf einen Jump Server beschränkt werden, der nur für administrative oder privilegierte Zwecke verwendet wird und über vollständige Audit-Funktionen und aktivierte MFA verfügt. Die Netzwerksegmentierung sollte sicherstellen, dass jeder SSH-, Web-UI- und API-Zugriff auf ESXi oder vCenter vom Jump Server ausgehen muss. Darüber hinaus sollte der SSH-Zugriff deaktiviert werden, und jede Aktivierung des SSH-Zugriffs sollte Warnmeldungen auslösen und dringend untersucht werden.
- Stellen Sie sicher, dass vCenter nicht über SSH oder HTTP mit dem Internet verbunden ist. CrowdStrike hat beobachtet, dass sich Angreifer über gültige Konten oder unter Ausnutzung von RCE-Schwachstellen (z. B. CVE-2021-21985) Zugang zu vCenter verschafft haben. Obwohl diese Schwachstellen von VMware behoben wurden, sollten diese Dienste nicht dem Internet ausgesetzt werden, um das Risiko zu minimieren.
- Stellen Sie sicher, dass ESXi-Datenspeicher-Volumes regelmäßig gesichert werden. Insbesondere Festplatten-Images und Snapshots virtueller Maschinen sollten täglich (wenn möglich auch häufiger) bei einem externen Speicheranbieter gesichert werden. Bei einem Ransomware-Ereignis sollten die Sicherheitsteams in der Lage sein, Systeme aus Backups wiederherzustellen und gleichzeitig zu verhindern, dass die Backups selbst verschlüsselt werden.
- Wenn bekannt ist oder vermutet wird, dass eine Verschlüsselung im Gange ist, und es nicht möglich ist, bösartige Prozesse zu beenden, besteht eine mögliche Option darin, den Speicher physisch vom ESXi-Host zu trennen oder sogar die Stromversorgung des ESXi-Hosts zu unterbrechen. Bedrohungsakteure ändern häufig das Root-Passwort, sobald sie Zugang erhalten haben, und sperren so möglicherweise Administratoren vom System aus. Die physische Trennung der Festplatten kann zwar zu Problemen oder zum Verlust von Daten führen, die noch nicht auf den Backend-Speicher geschrieben wurden, aber die Ransomware wird dadurch daran gehindert, die VMDKs weiter zu verschlüsseln. Das Herunterfahren von Gast-VMs ist nicht hilfreich, da die Verschlüsselung auf dem Hypervisor selbst stattfindet. Ransomware für ESXi enthält in der Regel Funktionen zum Herunterfahren von Gast-VMs, um die Festplattendateien zu entsperren und die Verschlüsselung fortzusetzen.
Weitere ESXi-Sicherheitsempfehlungen finden Sie bei VMware unter https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-B39474AF-6778-499A-B8AB-E973BE6D4899.html.
Fazit
Angreifer werden wahrscheinlich weiterhin VMware-basierte Virtualisierungsinfrastrukturen ins Visier nehmen. Diese Einschätzung basiert auf der zunehmenden Verbreitung von Virtualisierungstechnologien durch Unternehmen, die Arbeitslasten und Infrastrukturen in Cloud-Umgebungen verlagern, auf der Vorherrschaft von VMware im Bereich der Virtualisierungslösungen für Unternehmen und auf der routinemäßigen Ausrichtung auf Virtualisierungsprodukte durch gezielte Eindringlinge und eCrime-Akteure, die von CrowdStrike Intelligence verfolgt werden.
Darüber hinaus beobachtete CrowdStrike Intelligence im Jahr 2022 eine deutliche Zunahme von BGH-Ransomware-Akteuren, die ESXi-Server angreifen. Die potenziell vervielfachten Auswirkungen eines Angriffs – erleichtert durch die Beeinträchtigung der Infrastruktur, die mehrere kritische VMs betreibt – unterstützen diese Einschätzung zusätzlich.
Der Diebstahl von Anmeldeinformationen ist der einfachste Angriffsvektor, um Infrastrukturmanagement- und Virtualisierungsprodukte anzugreifen. Da VMware-Produkte jedoch in der Vergangenheit mit kritischen Schwachstellen behaftet waren, werden Angreifer und Branchenforscher wahrscheinlich auch in Zukunft potenzielle Schwachstellen untersuchen und aufdecken. Diese Einschätzung wird mit großer Zuversicht vorgenommen, da erfolgreiche Kompromittierungen von Unternehmensvirtualisierungsprodukten in der Regel Zugang zu hochwertigen Zielen bieten und daher Schwachstellen, die entsprechende Produkte betreffen, für Angreifer äußerst attraktiv sind. Besonders hervorzuheben ist, dass VMware ESXi 6.5 und 6.7 sowie vSphere 6.5 und 6.7 am 15. Oktober 2022 das Ende des allgemeinen Supports erreicht haben – was im Wesentlichen das Ende der Sicherheitsupdates für die betroffenen Produkte bedeutet.5
Da die Virtualisierungstechnologie oft ein wichtiger Bestandteil der IT-Infrastruktur eines Unternehmens ist, ist es von entscheidender Bedeutung, regelmäßig Sicherheitsupdates einzuspielen und die Sicherheitslage zu überprüfen – selbst wenn diese Prozesse die Verfügbarkeit von Netzwerkdiensten und -komponenten beeinträchtigen.
Additional Resources
- To learn more about eCrime adversaries tracked by CrowdStrike Intelligence, visit the CrowdStrike Adversary Universe.
- To find out how to incorporate intelligence on threat actors into your security strategy, visit the CrowdStrike Falcon® Intelligence page.
- Learn about the powerful, cloud-native CrowdStrike Falcon® platform by visiting the product webpage.
- Get a full-featured free trial of CrowdStrike Falcon® Prevent to see for yourself how true next-gen AV performs against today’s most sophisticated threats.
- https://kb.vmware.com/s/article/80768
- https://www.bleepingcomputer.com/news/security/new-python-malware-backdoors-vmware-esxi-servers-for-remote-access/
- https://www.mandiant.com/resources/blog/esxi-hypervisors-malware-persistence
- https://blogs.vmware.com/security/2022/09/esxi-targeting-ransomware-the-threats-that-are-after-your-virtual-machines-part-1.html
- https://core.vmware.com/blog/reminder-vsphere-6567-end-general-support
Firma zum Thema
Fachartikel
Strategien für eine fortgeschrittene digitale Hygiene
Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen
Wie man RMM-Software mit einer Firewall absichert
Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024
Konvergiert vs. Einheitlich: Was ist der Unterschied?
Studien
Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen
Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle
Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart
Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht
Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen
Whitepaper
Unter4Ohren
Datenklassifizierung: Sicherheit, Konformität und Kontrolle
Die Rolle der KI in der IT-Sicherheit
CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft
WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand
