VMware被指缺乏安全功能

坐视虚拟化平台逐步沦为网络犯罪猎物

安全内参 5 月 18 日消息，2020 年以来，意图发起 “狩猎大型猎物”（BGH）攻击的网络犯罪团伙越来越多地针对 VMware ESXi vSphere 管理程序，部署专门设计的 Linux 版本勒索软件。

美国安全公司 CrowdStrike 观察到，这一趋势持续到了 2023 年第一季度，Alphv、Lockbit 和 Defray（CrowdStrike 内部代号为 ALPHA SPIDER、BITWISE SPIDER、SPRITE SPIDER）等勒索软件即服务（RaaS）平台均被用来攻击 ESXi。

鉴于 ESXi 本身设计上不支持第三方代理或反病毒软件，并且 VMware 在其文档中明确表示不需要反病毒软件，这一趋势尤其值得注意。ESXi 是一种广泛使用的虚拟化和管理系统，这使得它对网络犯罪团伙极具吸引力。

ESXi 是什么？

ESXi 是 VMware 开发的裸机虚拟机管理器（Type-1 类型）。虚拟机管理器是一种管理虚拟机的软件。与运行在传统操作系统上的托管虚拟机管理器（Type-2 类型）相比，裸机虚拟机管理器直接运行在专用主机硬件上，性能更佳，主要用于数据中心、云服务等场景。

ESXi 系统通常由 vCenter 管理，vCenter 是一个集中的服务器管理工具，可以控制多个 ESXi 设备。尽管 ESXi 不是 Linux 操作系统，但在 ESXi 命令行程序中可以运行一些 Linux 编译的 ELF 二进制文件。

与 ESXi 平台相关的几个重要的 VMware 产品包括：

• ESXi（或 vSphere 虚拟机管理器）：作为服务器，包括虚拟机管理器组件、身份和管理组件以及与服务器硬件相关的资源管理组件；

• vCenter：身份和管理组件，以及用于一组 ESXi 服务器的完整资源管理器；

• ONE Access（或 Identity Manager）：提供单点登录（SSO）解决方案，用于连接到 vCenter 或 ESXi；

• Horizon：VMware 的全面虚拟架构管理解决方案。

ESXi 安全现状

VMware 建议：“vSphere 虚拟机管理器不需要使用防病毒软件，也不支持使用此类软件。”

除了缺乏 ESXi 安全工具外，网络犯罪团伙还积极利用了一些漏洞。2023 年 2 月，法国计算机应急响应小组（CERT-FR）报告了一起勒索软件攻击事件，追踪代号为 ESXiArgs。该攻击事件针对的是易受 CVE-2020-3992 或 CVE-2021-21974 漏洞影响，暴露于互联网的 VMware ESXi 虚拟机管理器。

这两个漏洞都针对 ESXi 虚拟机管理器中的 OpenSLP 服务。CVE-2021-21974 允许未经身份验证的相邻网络攻击者在受影响的 VMware ESXi 实例上执行任意代码，但此前尚未被实际利用。CVE-2020-3992 已被在野利用，它允许未经身份验证的对手在管理网络中的 ESXi 机器上访问端口 427，并触发 OpenSLP 服务中的使用后释放问题，导致远程代码执行。

此前的公开报告还确认了 CVE-2019-5544 被实际利用，它同样影响了 OpenSLP 服务，并支持在受影响系统上执行远程代码。

在公开报告的 CVE-2020-3992 和 CVE-2021-21974 实际利用案例中，威胁行为者部署了一个名为 vmtools.py 的 Python 后门，存放在文件路径 /store/packages/；这个文件名和文件路径与一个用户在公开论坛上分享的与当前 ESXiArgs 活动相关的行程序脚本的内容相匹配。

威胁态势正在恶化

由于在虚拟化领域中占据主导地位，VMware 的产品线通常是组织的 IT 基础设施虚拟化和管理系统的关键组成部分，因此 VMware 虚拟基础架构产品对攻击者具有很大的吸引力。

越来越多的网络犯罪团伙意识到，缺乏安全工具、接口缺乏充分的网络分段以及被实际利用漏洞使 ESXi 成为一个诱人的攻击环境。

例如，2023 年 4 月，CrowdStrike 发现了一个名为 MichaelKors 的新的勒索软件即服务程序，为附属团队提供针对 Windows 和 ESXi/Linux 系统的勒索软件二进制文件。其他能够针对 ESXi 环境进行攻击的勒索软件服务平台也在浮出水面，如 Nevada 勒索软件。

2022 年 9 月末，Mandiant 研究人员发现并披露了一个主要针对 VMware ESXi 和 VMware vCenter 服务器的新型恶意软件生态系统，它部署为恶意远程管理工具（RAT）。该远程管理工具可在受感染服务器上持久化运行，并与底层虚拟机进行交互、提取敏感信息。

在 2022 年末，CrowdStrike 观察到 ALPHA SPIDER 使用 Cobalt Strike 变体对 ESXi 服务器进行后渗透活动，并使用 SystemBC 变体通过受感染的 vCenter 服务器在网络中持久运行。此外，SCATTERED SPIDER 利用开源代理工具 rsocx 持续访问受害者的 ESXi 服务器。

CrowdStrike 评估发现，很多知名网络犯罪团伙在不同行业和地区使用 Log4Shell (CVE-2021-44228) 攻击 VMware Horizon 实例，包括 NEMESIS KITTEN、SILENT CHOLLIMA 以及 PROPHET SPIDER 等。

针对虚拟基础架构组件实施攻击具有诸多优势。目标组件通常没有得到足够的安全保护，放大了单次入侵的影响或帮助规避检测和防范机制。VMware 产品过去曾受到关键漏洞的影响，攻击者可能会继续针对任何潜在弱点进行攻击。入侵成功通常能获得高价值资源的访问权限。

攻击向量凭证窃取

对 ESXi 虚拟机管理程序最直接的攻击向量是窃取用户凭证。在窃取凭证后，攻击者可以轻松通过服务器的身份验证，根据攻击者的目的推进攻击。如果攻击者获得足够的权限，可以启用和访问 SSH 控制台，甚至能直接执行任意代码，即使在最新版 ESXi 上也是如此。

如果被入侵的账户具备访问虚拟机网络管理功能的权限，攻击者可以将虚拟机重新配置为代理，用于访问内部网络。此外，如果被入侵的账户仅提供对一组虚拟机的访问权限，攻击者可以针对影响虚拟化操作系统的配置弱点或漏洞，以侵入目标网络。

一旦权限有限的攻击者成功访问了 ESXi 服务器，从初始访问到实现实际目标之间，需要权限升级这一关键中间步骤。CVE-2016-7463、CVE-2017-4940 和 CVE-2020-3955 等跨站脚本攻击（XSS）漏洞可以作为欺骗特权用户执行代码的手段进行攻击。例如，CVE-2020-3955 首先将恶意载荷嵌入虚拟机属性（例如主机名）中，然后欺骗系统管理员通过 VMware 管理界面访问这些恶意属性。据目前所知，这些 XSS 漏洞没有被用于实际攻击。另外，还存在 CVE-2021-22043 这种权限升级漏洞，它允许具备访问设置权限的用户升级权限；然而，截至本文撰写时，尚无公开可用的针对此漏洞的概念验证（POC）代码或武器化利用代码。CrowdStrike 也没有了解到涉及这一特定漏洞的实际攻击活动。

根据行业报道，凭证窃取似乎是攻击者针对 ESXi 服务器的主要攻击向量。此外，CrowdStrike 观察到的案例表明，攻击者通常通过其他手段获取对目标网络的访问权限，然后尝试收集 ESXi 凭证以达到最终目标，如部署勒索软件；所有这些案例中，攻击者窃取的凭证具备足够的特权，使其可以直接执行任意代码。

虚拟机访问

如上文介绍，虚拟机可以通过两种方式访问：直接访问或通过 ESXi 管理界面访问。两种方式的凭证窃取过程类似，在此不再重复。

如果可以直接访问虚拟机，则可能存在以下两种情况：

• 如果虚拟机与内部网络的其余部分没有足够的隔离，它可能作为在网络中横向移动的代理，导致无需对 ESXi 服务器发起攻击。

• 如果网络的唯一入口是一个可访问的、正确隔离的虚拟机，攻击者无法对网络进一步渗透，必须直接在 ESXi 虚拟机管理器级别上运行代码。攻击者必须掌控 ESXi 虚拟机管理器，因为管理器到网络中其他机器存在网络路径。为了从虚拟机攻击底层虚拟机管理器，攻击者一般需要利用虚拟机逃逸漏洞。

实现虚拟机逃逸有两种方法：第一种是攻击虚拟机管理器虚拟化组件，比如利用影响虚拟机管理器硬件仿真组件的漏洞。这通常需要掌握虚拟机内核级权限，即需要利用额外的漏洞攻击虚拟机。第二种方法是利用通过网络可达的影响虚拟机管理器的漏洞，并使用虚拟机向虚拟机管理器传输恶意网络数据包。

在大约 40 个可能通过虚拟化组件实现虚拟机逃逸的漏洞中，只有两个漏洞（CVE-2012-1517 和 CVE-2012-1516）针对旧版本的 ESXi（3.5 至 4.1）中的虚拟机与虚拟机管理器之间的通信组件。所有其他漏洞都针对模拟设备，如 USB（CVE-2022-31705，CVE-2021-2 2041，CVE-2021-22040）、CD-ROM（CVE-2021-22045）或 SVGA（CVE-2020-3969，CVE-2020-3962）。

自 ESXi 6.5 版本引入 VMX 沙箱以来，利用 ESXi 虚拟化组件进行虚拟机逃逸攻击至少涉及三个不同的漏洞利用，如下所示：

1. 攻击者通过第一个漏洞在内核级别上入侵虚拟机。

2. 然后，攻击者通过第二个漏洞针对虚拟机内的设备，以在 VMX 进程中执行代码。

3. 攻击者随后执行第三个漏洞利用，实现 VMX 沙箱的逃逸。

4. 最后，攻击者可能需要第四个漏洞利用来提升在虚拟化管理器上的权限。

截至目前，公开的这种漏洞链的概念验证代码不存在，有关这类漏洞的文档也很少。由于此类攻击的复杂性，只有高级的行动者，如国家级对手，可能具备所需的能力。

如何保护虚拟机集群？

CrowdStrike 提供了五项重要建议，各组织应该实施这些措施，降低虚拟化管理器被攻击的概率或攻击影响。

• 避免直接访问 ESXi 主机。使用 vSphere 客户端管理 vCenter 服务器所辖 ESXi 主机。不要使用 VMware 主机客户端直接访问受管主机，也不要通过直接控制台用户界面更改受管主机。（注：这是 VMware 特定的建议。）

• 如果有必要直接访问 ESXi 主机，请使用具备多因素验证、经过加固的跳板服务器。ESXi 访问应仅限于用于管理目的或特定权限目的的跳板服务器，该服务器具有完整的审计功能，并启用了多因素身份验证。应实施网络分段，确保只能从跳板服务器出发访问 ESXi 或 vCenter 的任何 SSH、Web UI 和 API。此外，应禁用 SSH 访问，对任何启用 SSH 访问的操作发出警报并进行紧急调查。

• 确保 vCenter 不通过 SSH 或 HTTP 暴露在互联网上。CrowdStrike 观察到对手使用有效帐户或利用 RCE 漏洞（例如 CVE-2021-21985）获取对 vCenter 的初始访问权限。虽然 VMware 已经解决了这些漏洞，为了减轻风险，但这些服务不应暴露在互联网上。

• 确保 ESXi 数据存储卷定期备份。虚拟机磁盘镜像和快照应每天备份（如果可能，更频繁地备份）到离线存储提供商。勒索软件事件中，安全团队应具备从备份中恢复系统的能力，并防止备份本身被加密。

• 如果发现或怀疑备份正在进行加密，并且无法访问备份以终止恶意进程，可以物理断开 ESXi 主机的存储连接，甚至切断 ESXi 主机的电源。威胁行为者在获取访问权限后，通常会更改根密码，将管理员锁在系统之外。尽管物理断开磁盘连接可能会引发问题，或丢失尚未写入后端存储的数据，但它将阻止勒索软件继续加密 VMDK 文件。关闭虚拟机客户机将无济于事，因为加密是在虚拟化管理器本身上进行的。ESXi 的勒索软件通常具有关闭虚拟机客户机的功能，可以解锁磁盘文件并进行加密。

更多 ESXi 安全建议可在 VMware 网站上查阅。

结论

基于下列事实：各组织日益使用虚拟化技术将工作负载和基础架构转移到云环境；VMware 在企业虚拟化解决方案领域占据主导地位；安全公司追踪到网络犯罪团伙频繁针对虚拟化产品发动攻击。CrowdStrike 认为，攻击者很可能会继续针对基于 VMware 的虚拟化基础架构进行攻击。

凭据窃取是针对基础架构管理和虚拟化产品的最直接的攻击向量。由于 VMware 产品过去曾受到重要漏洞的影响，攻击者和行业研究人员很可能会继续研究并发现未来的潜在弱点。值得注意的是，VMware 于 2022 年 10 月 15 日停止对 ESXi 6.5、6.7 和 vSphere 6.5、6.7 的一般支持，基本上不再对这些产品进行安全更新。

因为虚拟化技术通常是组织 IT 基础架构中至关重要的一部分，定期应用安全更新并进行安全态势审查非常关键，即使这些过程会影响网络服务和组件的可用性也必须落实。