Kwaadwillenden blijven zich richten op VMware ESXi vSphere

Sinds 2020 observeert CrowdStrike steeds vaker Big Game Hunting (BGH) threat actoren die Linux-versies van ransomwaretools inzetten die speciaal zijn ontworpen om VMWare's ESXi vSphere hypervisor aan te tasten (lees deel 1 en deel 2 van deze serie).

In het eerste kwartaal van 2023 heeft deze trend zich voortgezet; Ransomware as a Service (RAAS) platforms waaronder Alphv, Lockbit, en Defray getraceerd als ALPHA SPIDER, BITWISE SPIDER, en SPRITE SPIDER zijn gebruikt om ESXi aan te vallen. Deze trend is opmerkelijk gezien het feit dat ESXi, vanuit het ontwerp, geen agents van derden of AV software ondersteunt en volgens VMware ‘s documentatie niet vereist is. Dit, gecombineerd met de populariteit van ESXi als een wijdverspreid en populair virtualisatie- en beheersysteem, maakt de hypervisor een zeer aantrekkelijk doelwit voor kwaadwillenden.

Wat is ESXi?

ESXi is een Type-1 hypervisor (oftewel een "bare-metal" hypervisor) ontwikkeld door VMware. Een hypervisor is software die virtuele machines (VM's) draait en beheert. In tegenstelling tot Type-2 hypervisors die draaien op een conventioneel host-besturingssysteem, draait een Type-1 hypervisor rechtstreeks op de hardware van een specifieke host. ESXi-systemen worden gewoonlijk beheerd door vCenter, een gecentraliseerde serverbeheertool die meerdere ESXi-apparaten kan beheren. Hoewel ESXi geen Linux besturingssysteem is, is het mogelijk om sommige Linux-gecompileerde ELF-binaire bestanden binnen de ESXi commandoshell uit te voeren.

Relevante VMWare-producten in verband met het ESXi-platform zijn:

• ESXi (of vSphere Hypervisor): werkt als een server bestaande uit een hypervisor component, een identity en administrative component en een resource management component, gebonden aan de hardware van de server
• vCenter: het identity en beheercomponent alsmede een complete resource manager voor een vloot van ESXi servers
• ONE Access (of Identity Manager): biedt single sign-on (SSO) oplossingen om verbinding te maken met vCenter of ESXi
• Horizon: VMware's oplossing voor volledig virtueel architectuurbeheer

De staat van ESXi beveiliging

VMWare adviseert het volgende: "antivirussoftware is niet vereist bij de vSphere Hypervisor en het gebruik van dergelijke software wordt niet ondersteund."

Naast het gebrek aan beveiligingstools voor ESXi, als gevolg van het gebrek aan ondersteuning, wordt een aantal kwetsbaarheden actief uitgebuit door threat actoren.

Het probleem wordt erger

VMware virtuele infrastructuur producten zijn zeer aantrekkelijke doelwitten voor kwaadwillenden vanwege de overwicht van deze leverancier op het gebied van virtualisatie en het feit dat de oplossingen van VMware vaak een cruciaal onderdeel is van het virtualisatie- en beheersysteem in de IT-infrastructuur van een organisatie.

Steeds meer threat actoren erkennen dat het gebrek aan beveiligingshulpmiddelen, het ontbreken van adequate netwerksegmentatie van ESXi-interfaces en ITW-kwetsbaarheden voor ESXi een doelwitrijke omgeving voedt.

In april 2023 identificeerde CrowdStrike Intelligence bijvoorbeeld een nieuw Ransomware-as-a-Service (RaaS) programma genaamd MichaelKors, dat affiliates voorziet van ransomware binaries gericht op Windows en ESXi/Linux-systemen. Andere RAAS-platforms zoals Nevada ransomware zijn ook in de markt gezet als geschikt om ESXi-omgevingen kan aanvallen.

Het aanvallen van virtuele infrastructuurcomponenten biedt aanvallers tal van voordelen, waaronder het vermenigvuldigen van de impact van een enkele inbreuk of het ondermijnen van detectie- en preventiemechanismen, aangezien componenten die het doelwit zijn vaak niet voldoende worden beschermd door beveiligingsoplossingen. Omdat VMware-producten in het verleden ernstige kwetsbaarheden hebben gekend, zullen kwaadwillenden zich waarschijnlijk blijven richten op mogelijke zwakke plekken, aangezien succesvolle compromissen doorgaans toegang bieden tot waardevolle bronnen.

Volgens berichten uit de sector lijkt diefstal van credentials de primaire aanvalsvector te zijn die aanvallers gebruiken om ESXi-servers aan te vallen. Bovendien blijkt uit door CrowdStrike Intelligence waargenomen incidenten dat aanvallers meestal op andere manieren toegang krijgen tot een doelnetwerk en dan proberen ESXi-gegevens te verzamelen om het uiteindelijke doel te bereiken, zoals het inzetten van ransomware; in al deze gevallen waren de verkregen credentials van voldoende rechten voorzien om direct code uit te kunnen voeren.

Conclusie

Kwaadwillenden zullen zich waarschijnlijk blijven richten op VMware gebaseerde virtualisatie-infrastructuur. Deze inschatting met hoge waarschijnlijkheid is gebaseerd op het toegenomen gebruik van virtualisatietechnologie door organisaties die workloads en infrastructuur overbrengen naar cloudomgevingen, het overwicht van VMware op het gebied van virtualisatieoplossingen en de routinematige aanval op virtualisatieproducten door gerichte inbraak- en eCrime-actoren die door CrowdStrike Intelligence worden gevolgd.

Daarnaast heeft CrowdStrike Intelligence een opmerkelijke toename waargenomen van Big Game Hunting (BGH) ransomware-actoren die zich richten op ESXi-servers in 2022. De potentieel toegenomen effecten van een aanval - gefaciliteerd door het aantasten van de infrastructuur die meerdere kritieke VM's beheert - ondersteunt deze observering verder.

Diefstal van credentials is de meest eenvoudige aanvalsvector om infrastructuurbeheer en virtualisatieproducten aan te vallen. Aangezien VMware-producten in het verleden echter kritieke kwetsbaarheden hebben vertoond, zullen kwaadwillenden en onderzoekers vanuit de sector in de toekomst waarschijnlijk doorgaan met het onderzoeken en blootleggen van potentiële zwakke plekken. Deze observering is met groot vertrouwen gedaan, aangezien succesvolle compromissen van virtualisatieproducten doorgaans toegang bieden tot waardevolle doelwitten en kwetsbaarheden in de desbetreffende producten daarom zeer aantrekkelijk zijn voor tegenstanders. Met name VMware ESXi 6.5 en 6.7 en vSphere 6.5 en 6.7 bereikten het einde van de algemene ondersteuning op 15 oktober 2022, waardoor beveiligingsupdates voor de betrokken producten zijn vervallen. Aangezien virtualisatietechnologie vaak een cruciaal onderdeel is van de IT-infrastructuur van een organisatie, is het van essentieel belang om regelmatig beveiligingsupdates toe te passen en beveiligingsbeoordelingen uit te voeren - zelfs als deze processen de beschikbaarheid van netwerkdiensten en -componenten beïnvloeden.

Lees meer hier.