當前觀點：VMware被指缺乏安全功能，坐視虛擬化平臺逐步淪為網絡犯罪獵物

前情回顧·VMware安全危機

(資料圖片)

針對VMware ESXi的勒索軟件爆發！因源碼泄露，近一年涌現出9個變種

歐洲預警！VMWare老漏洞遭大規模勒索利用，已有數千個系統受影響

工信部：關于防范利用VMware ESXi高危漏洞實施勒索攻擊的風險提示

針對VMware虛擬機平臺的勒索軟件攻擊開始肆虐

安全內參5月18日消息，2020年以來，意圖發起“狩獵大型獵物”（BGH）攻擊的網絡犯罪團伙越來越多地針對VMware ESXi vSphere管理程序，部署專門設計的Linux版本勒索軟件。

美國安全公司CrowdStrike觀察到，這一趨勢持續到了2023年第一季度，Alphv、Lockbit和Defray（CrowdStrike內部代號為ALPHA SPIDER、BITWISE SPIDER、SPRITE SPIDER）等勒索軟件即服務（RaaS）平臺均被用來攻擊ESXi。

鑒于ESXi本身設計上不支持第三方代理或反病毒軟件，并且VMware在其文檔中明確表示不需要反病毒軟件，這一趨勢尤其值得注意。ESXi是一種廣泛使用的虛擬化和管理系統，這使得它對網絡犯罪團伙極具吸引力。

ESXi是什么？

ESXi是VMware開發的裸機虛擬機管理器（Type-1類型）。虛擬機管理器是一種管理虛擬機的軟件。與運行在傳統操作系統上的托管虛擬機管理器（Type-2類型）相比，裸機虛擬機管理器直接運行在專用主機硬件上，性能更佳，主要用于數據中心、云服務等場景。

ESXi系統通常由vCenter管理，vCenter是一個集中的服務器管理工具，可以控制多個ESXi設備。盡管ESXi不是Linux操作系統，但在ESXi命令行程序中可以運行一些Linux編譯的ELF二進制文件。

與ESXi平臺相關的幾個重要的VMware產品包括：

ESXi（或vSphere虛擬機管理器）：作為服務器，包括虛擬機管理器組件、身份和管理組件以及與服務器硬件相關的資源管理組件；

vCenter：身份和管理組件，以及用于一組ESXi服務器的完整資源管理器；

ONE Access（或Identity Manager）：提供單點登錄（SSO）解決方案，用于連接到vCenter或ESXi；

Horizon：VMware的全面虛擬架構管理解決方案。

ESXi安全現狀

VMware建議：“vSphere虛擬機管理器不需要使用防病毒軟件，也不支持使用此類軟件。”

除了缺乏ESXi安全工具外，網絡犯罪團伙還積極利用了一些漏洞。2023年2月，法國計算機應急響應小組（CERT-FR）報告了一起勒索軟件攻擊事件，追蹤代號為ESXiArgs。該攻擊事件針對的是易受CVE-2020-3992或CVE-2021-21974漏洞影響，暴露于互聯網的VMware ESXi虛擬機管理器。

這兩個漏洞都針對ESXi虛擬機管理器中的OpenSLP服務。CVE-2021-21974允許未經身份驗證的相鄰網絡攻擊者在受影響的VMware ESXi實例上執行任意代碼，但此前尚未被實際利用。CVE-2020-3992已被在野利用，它允許未經身份驗證的對手在管理網絡中的ESXi機器上訪問端口427，并觸發OpenSLP服務中的使用后釋放問題，導致遠程代碼執行。

此前的公開報告還確認了CVE-2019-5544被實際利用，它同樣影響了OpenSLP服務，并支持在受影響系統上執行遠程代碼。

在公開報告的CVE-2020-3992和CVE-2021-21974實際利用案例中，威脅行為者部署了一個名為vmtools.py的Python后門，存放在文件路徑/store/packages/；這個文件名和文件路徑與一個用戶在公開論壇上分享的與當前ESXiArgs活動相關的行程序腳本的內容相匹配。

威脅態勢正在惡化

由于在虛擬化領域中占據主導地位，VMware的產品線通常是組織的IT基礎設施虛擬化和管理系統的關鍵組成部分，因此VMware虛擬基礎架構產品對攻擊者具有很大的吸引力。

越來越多的網絡犯罪團伙意識到，缺乏安全工具、接口缺乏充分的網絡分段以及被實際利用漏洞使ESXi成為一個誘人的攻擊環境。

例如，2023年4月，CrowdStrike發現了一個名為MichaelKors的新的勒索軟件即服務程序，為附屬團隊提供針對Windows和ESXi/Linux系統的勒索軟件二進制文件。其他能夠針對ESXi環境進行攻擊的勒索軟件服務平臺也在浮出水面，如Nevada勒索軟件。

2022年9月末，Mandiant研究人員發現并披露了一個主要針對VMware ESXi和VMware vCenter服務器的新型惡意軟件生態系統，它部署為惡意遠程管理工具（RAT）。該遠程管理工具可在受感染服務器上持久化運行，并與底層虛擬機進行交互、提取敏感信息。

在2022年末，CrowdStrike觀察到ALPHA SPIDER使用Cobalt Strike變體對ESXi服務器進行后滲透活動，并使用SystemBC變體通過受感染的vCenter服務器在網絡中持久運行。此外，SCATTERED SPIDER利用開源代理工具rsocx持續訪問受害者的ESXi服務器。

CrowdStrike評估發現，很多知名網絡犯罪團伙在不同行業和地區使用Log4Shell (CVE-2021-44228) 攻擊VMware Horizon實例，包括NEMESIS KITTEN、SILENT CHOLLIMA以及PROPHET SPIDER等。

針對虛擬基礎架構組件實施攻擊具有諸多優勢。目標組件通常沒有得到足夠的安全保護，放大了單次入侵的影響或幫助規避檢測和防范機制。VMware產品過去曾受到關鍵漏洞的影響，攻擊者可能會繼續針對任何潛在弱點進行攻擊。入侵成功通常能獲得高價值資源的訪問權限。

攻擊向量

憑證竊取

對ESXi 虛擬機管理程序最直接的攻擊向量是竊取用戶憑證。在竊取憑證后，攻擊者可以輕松通過服務器的身份驗證，根據攻擊者的目的推進攻擊。如果攻擊者獲得足夠的權限，可以啟用和訪問SSH控制臺，甚至能直接執行任意代碼，即使在最新版ESXi上也是如此。

如果被入侵的賬戶具備訪問虛擬機網絡管理功能的權限，攻擊者可以將虛擬機重新配置為代理，用于訪問內部網絡。此外，如果被入侵的賬戶僅提供對一組虛擬機的訪問權限，攻擊者可以針對影響虛擬化操作系統的配置弱點或漏洞，以侵入目標網絡。

一旦權限有限的攻擊者成功訪問了ESXi服務器，從初始訪問到實現實際目標之間，需要權限升級這一關鍵中間步驟。CVE-2016-7463、CVE-2017-4940和CVE-2020-3955等跨站腳本攻擊（XSS）漏洞可以作為欺騙特權用戶執行代碼的手段進行攻擊。例如，CVE-2020-3955首先將惡意載荷嵌入虛擬機屬性（例如主機名）中，然后欺騙系統管理員通過VMware管理界面訪問這些惡意屬性。據目前所知，這些XSS漏洞沒有被用于實際攻擊。另外，還存在CVE-2021-22043這種權限升級漏洞，它允許具備訪問設置權限的用戶升級權限；然而，截至本文撰寫時，尚無公開可用的針對此漏洞的概念驗證（POC）代碼或武器化利用代碼。CrowdStrike也沒有了解到涉及這一特定漏洞的實際攻擊活動。

根據行業報道，憑證竊取似乎是攻擊者針對ESXi服務器的主要攻擊向量。此外，CrowdStrike觀察到的案例表明，攻擊者通常通過其他手段獲取對目標網絡的訪問權限，然后嘗試收集ESXi憑證以達到最終目標，如部署勒索軟件；所有這些案例中，攻擊者竊取的憑證具備足夠的特權，使其可以直接執行任意代碼。

虛擬機訪問

如上文介紹，虛擬機可以通過兩種方式訪問：直接訪問或通過ESXi管理界面訪問。兩種方式的憑證竊取過程類似，在此不再重復。

如果可以直接訪問虛擬機，則可能存在以下兩種情況：

如果虛擬機與內部網絡的其余部分沒有足夠的隔離，它可能作為在網絡中橫向移動的代理，導致無需對ESXi服務器發起攻擊。

如果網絡的唯一入口是一個可訪問的、正確隔離的虛擬機，攻擊者無法對網絡進一步滲透，必須直接在ESXi虛擬機管理器級別上運行代碼。攻擊者必須掌控ESXi 虛擬機管理器，因為管理器到網絡中其他機器存在網絡路徑。為了從虛擬機攻擊底層虛擬機管理器，攻擊者一般需要利用虛擬機逃逸漏洞。

實現虛擬機逃逸有兩種方法：第一種是攻擊虛擬機管理器虛擬化組件，比如利用影響虛擬機管理器硬件仿真組件的漏洞。這通常需要掌握虛擬機內核級權限，即需要利用額外的漏洞攻擊虛擬機。第二種方法是利用通過網絡可達的影響虛擬機管理器的漏洞，并使用虛擬機向虛擬機管理器傳輸惡意網絡數據包。

在大約40個可能通過虛擬化組件實現虛擬機逃逸的漏洞中，只有兩個漏洞（CVE-2012-1517和CVE-2012-1516）針對舊版本的ESXi（3.5至4.1）中的虛擬機與虛擬機管理器之間的通信組件。所有其他漏洞都針對模擬設備，如USB（CVE-2022-31705，CVE-2021-2 2041，CVE-2021-22040）、CD-ROM（CVE-2021-22045）或SVGA（CVE-2020-3969，CVE-2020-3962）。

自ESXi 6.5版本引入VMX沙箱以來，利用ESXi虛擬化組件進行虛擬機逃逸攻擊至少涉及三個不同的漏洞利用，如下所示：

攻擊者通過第一個漏洞在內核級別上入侵虛擬機。

然后，攻擊者通過第二個漏洞針對虛擬機內的設備，以在VMX進程中執行代碼。

攻擊者隨后執行第三個漏洞利用，實現VMX沙箱的逃逸。

最后，攻擊者可能需要第四個漏洞利用來提升在虛擬化管理器上的權限。

截至目前，公開的這種漏洞鏈的概念驗證代碼不存在，有關這類漏洞的文檔也很少。由于此類攻擊的復雜性，只有高級的行動者，如國家級對手，可能具備所需的能力。

如何保護虛擬機集群？

CrowdStrike提供了五項重要建議，各組織應該實施這些措施，降低虛擬化管理器被攻擊的概率或攻擊影響。

避免直接訪問ESXi主機。使用vSphere客戶端管理vCenter服務器所轄ESXi主機。不要使用VMware主機客戶端直接訪問受管主機，也不要通過直接控制臺用戶界面更改受管主機。（注：這是VMware特定的建議。）

如果有必要直接訪問ESXi主機，請使用具備多因素驗證、經過加固的跳板服務器。ESXi訪問應僅限于用于管理目的或特定權限目的的跳板服務器，該服務器具有完整的審計功能，并啟用了多因素身份驗證。應實施網絡分段，確保只能從跳板服務器出發訪問ESXi或vCenter的任何SSH、Web UI和API。此外，應禁用SSH訪問，對任何啟用SSH訪問的操作發出警報并進行緊急調查。

確保vCenter不通過SSH或HTTP暴露在互聯網上。CrowdStrike觀察到對手使用有效帳戶或利用RCE漏洞（例如CVE-2021-21985）獲取對vCenter的初始訪問權限。雖然VMware已經解決了這些漏洞，為了減輕風險，但這些服務不應暴露在互聯網上。

確保ESXi數據存儲卷定期備份。虛擬機磁盤鏡像和快照應每天備份（如果可能，更頻繁地備份）到離線存儲提供商。勒索軟件事件中，安全團隊應具備從備份中恢復系統的能力，并防止備份本身被加密。

如果發現或懷疑備份正在進行加密，并且無法訪問備份以終止惡意進程，可以物理斷開ESXi主機的存儲連接，甚至切斷ESXi主機的電源。威脅行為者在獲取訪問權限后，通常會更改根密碼，將管理員鎖在系統之外。盡管物理斷開磁盤連接可能會引發問題，或丟失尚未寫入后端存儲的數據，但它將阻止勒索軟件繼續加密VMDK文件。關閉虛擬機客戶機將無濟于事，因為加密是在虛擬化管理器本身上進行的。ESXi的勒索軟件通常具有關閉虛擬機客戶機的功能，可以解鎖磁盤文件并進行加密。

更多ESXi安全建議可在VMware網站上查閱。

結論

基于下列事實：各組織日益使用虛擬化技術將工作負載和基礎架構轉移到云環境；VMware在企業虛擬化解決方案領域占據主導地位；安全公司追蹤到網絡犯罪團伙頻繁針對虛擬化產品發動攻擊。CrowdStrike認為，攻擊者很可能會繼續針對基于VMware的虛擬化基礎架構進行攻擊。

憑據竊取是針對基礎架構管理和虛擬化產品的最直接的攻擊向量。由于 VMware 產品過去曾受到重要漏洞的影響，攻擊者和行業研究人員很可能會繼續研究并發現未來的潛在弱點。值得注意的是，VMware于2022年10月15日停止對ESXi 6.5、6.7 和 vSphere 6.5、6.7 的一般支持，基本上不再對這些產品進行安全更新。

因為虛擬化技術通常是組織IT基礎架構中至關重要的一部分，定期應用安全更新并進行安全態勢審查非常關鍵，即使這些過程會影響網絡服務和組件的可用性也必須落實。

參考資料：crowdstrike.com