Uma técnica de ataque nunca antes descoberta permite a infiltração de VMware ESXi hypervisors. Os cibercriminosos desconhecidos utilizaram a técnica, na prática para atacar organizações. Isto é revelado pela empresa de segurança Mandiant num novo relatório.
VMware ESXi é um dos hipervisores mais utilizados em todo o mundo. Uma técnica de ataque nunca antes descoberta torna possível a infiltração do hipervisor. A empresa de segurança Mandiant descobriu em abril de 2022 que a técnica tem sido utilizada por cibercriminosos desconhecidos para atacar organizações. O relatório foi publicado recentemente.
Pacotes de Instalação vSphere
A técnica torna possível infiltrar-se no ambiente ESXi de um alvo. A Mandiant encontrou o malware em “menos de dez organizações”. A escala do problema parece limitada, mas as aparências são enganosas. VMware ESXi é extremamente popular e o método permite aos atacantes sequestrar um hipervisor inteiro. Os danos potenciais são enormes.
Um atacante precisa de acesso de gestão para abusar da técnica. O acesso de gestão permite a um atacante implantar pacotes de instalação vSphere maliciosos (VIBs). O malware permite que o acesso de gestão ao VMware ESXi seja mantido mesmo após uma reinicialização. Os atacantes podem enviar e executar comandos para hipervisores em máquinas virtuais (VMs), manipular logs de hipervisores e trocar ficheiros entre VMs.
VMware não é a causa
A Mandiant não tem provas de que os perpetradores do incidente descoberto tenham explorado uma vulnerabilidade no VMware ESXi para obterem acesso de gestão. Portanto, o VMware não é a causa do problema. As VIBs são uma parte importante e legítima da ESXi. “Os pacotes são geralmente utilizados pelos administradores para implementar atualizações e manter sistemas”, explicou Mandiant. “No entanto, os atacantes utilizaram os pacotes para manter o acesso aos hipervisores ESXi”.
A identidade dos cibercriminosos é desconhecida. O relatório sugere que a técnica tem sido utilizada para múltiplos ataques no passado, mas a Mandiant não sabe se o(s) autor(es) pertence(m) ao mesmo grupo ou coligação. A organização chama à ameaça UNC3886. “Dada a natureza altamente direcionada e evasiva desta intrusão, suspeitamos que a UNC3886 está relacionada com a espionagem cibernética”.
Prevenir
No relatório de investigação, a Mandiant descreve os detalhes técnicos do método de ataque. A organização afirma que um atacante precisa de muito conhecimento sobre ESXi e VMware para utilizar a técnica. No entanto, Mandiant espera uma onda de ataques semelhantes a curto prazo.
O relatório da investigação é público, permite que os cibercriminosos imitem o método. Assim, a Mandiant escreveu um blog abrangente sobre a segurança de ambientes ESXi. Os passos permitem evitar ataques semelhantes.
