Ismét a VMware ESXi került célkeresztbe

​Újabb kártékony programok fenyegetik a VMware ESXi alapú kiszolgálókat.
 

Az utóbbi időben jelentősebb mértékben megszaporodtak azon kártékony programok, amelyek a VMware alapú virtuális környezeteket állítják célkeresztbe. Teszik ezt leginkább azért, mert a szervereken lévő megannyi virtuális gép leállításával és az azokhoz kapcsolódó fájlok (virtuális lemezek) tiktosításával egy csapásra nagyon komoly károkat idézhetnek elő a szervezetek számára. Nyilván ezek az ártalmas szerzemények is folyamatosan fejlődnek. Mi sem bizonyítja mindezt jobban, mint a Mandiant szakértőinek legújabb vizsgálata, amelynek során három nemkívánatos programról is sikerült lerántaniuk a leplet.
 
A felfedezett károkozók közös jellemzője, hogy VIB (vSphere Installation Bundle) csomagok révén kerülnek fel az ESXi kiszolgálókra, amelyeken hátsó kaput nyitnak. Ezen keresztül jogosulatlan hozzáférést biztosítanak a támadók számára.
 
A két ártalmas program
 
Az első kártevő a VirtualPita, amely egy 64 bites, passzív hátsó kaput létesít a szervereken egy előre definiált porton keresztül. Gyakran teljesen legálisnak látszó szolgáltatásneveket vagy jól ismert portokat használ annak érdekében, hogy kerülje a feltűnést. Eközben pedig várja az utasításokat, amelyek a következők lehetnek:

• fájlok le- és feltöltése
• parancsok futtatása
• vmsyslogd leállítása és elindítása.

 
A másik károkozó a VirtualPie nevet kapta. Ez egy Pythonban készült program, amely egy perzisztensen futó, IPv6-alapú hátsó kapu kiépítésére alkalmas. Lehetőség ad parancsok távolról történő végrehajtására, fájlátvitelre és reverse shell létrehozására.
 
A Mandiant szerint szerencsére van egy fontos kockázatcsökkentő tényező. Mégpedig, hogy a két károkozó leginkább akkor tud jelentős károkozásokhoz hozzájárulni, ha a támadóknak előzőleg sikerül kipuhatolniuk az adminisztrátori hozzáféréseket. Mindez pedig a hozzáférés- és jogosultságkezelés fontosságára világít rá.