Backdoor Python yang sebelumnya tidak berdokumen menargetkan server VMware ESXi telah ditemukan, memungkinkan peretas untuk mengeksekusi perintah dari jarak jauh pada sistem yang disusupi.
VMware ESXi adalah platform virtualisasi yang biasa digunakan di perusahaan untuk menghosting banyak server di satu perangkat sambil menggunakan sumber daya CPU dan memori secara lebih efektif.
Pintu belakang baru ditemukan oleh peneliti Juniper Networks, yang menemukan pintu belakang di server VMware ESXi. Namun, mereka tidak dapat menentukan bagaimana server disusupi karena retensi log yang terbatas.
Mereka percaya server mungkin telah disusupi menggunakan kerentanan CVE-2019-5544 dan CVE-2020-3992 dalam layanan OpenSLP ESXi.
Sementara malware secara teknis mampu menargetkan sistem Linux dan Unix juga, analis Juniper menemukan beberapa indikasi bahwa itu dirancang untuk serangan terhadap ESXi.
Operasi pintu belakang
Pintu belakang python baru menambahkan tujuh baris di dalam “/etc/rc.local.d/local.sh,” salah satu dari sedikit file ESXi yang bertahan di antara reboot dan dijalankan saat startup.
Biasanya, file itu kosong, terlepas dari beberapa komentar penasehat dan pernyataan keluar.
Salah satu baris tersebut meluncurkan skrip Python yang disimpan sebagai “/store/packages/vmtools.py,” di direktori yang menyimpan image disk VM, log, dan lainnya.
Nama skrip dan lokasinya membuat Juniper Networks percaya bahwa operator malware berniat menargetkan server VMware ESXi secara khusus.
“Meskipun skrip Python yang digunakan dalam serangan ini adalah lintas platform dan dapat digunakan dengan sedikit atau tanpa modifikasi pada Linux atau sistem mirip UNIX lainnya, ada beberapa indikasi bahwa serangan ini dirancang khusus untuk menargetkan ESXi,” jelas Juniper Networks. laporan.
“Nama file dan lokasinya, /store/packages/vmtools.py, dipilih untuk menimbulkan sedikit kecurigaan pada host virtualisasi.”
“File dimulai dengan hak cipta VMware yang konsisten dengan contoh yang tersedia untuk umum dan diambil karakter demi karakter dari file Python yang ada yang disediakan oleh VMware.”
Skrip ini meluncurkan server web yang menerima permintaan POST yang dilindungi kata sandi dari aktor ancaman jarak jauh. Permintaan ini dapat membawa payload perintah yang disandikan base-64 atau meluncurkan shell terbalik pada host.
Reverse shell membuat server yang dikompromikan memulai koneksi dengan aktor ancaman, sebuah teknik yang sering membantu melewati batasan firewall atau mengatasi konektivitas jaringan yang terbatas.
Salah satu tindakan pelaku ancaman yang diamati oleh analis Juniper adalah mengubah konfigurasi proxy HTTP terbalik ESXi untuk memungkinkan akses jarak jauh untuk berkomunikasi dengan server web yang ditanam.
Karena file yang digunakan untuk menyetel konfigurasi baru ini, “/etc/vmware/rhttpproxy/endpoints.conf,” juga dicadangkan dan dipulihkan setelah reboot, modifikasi apa pun di dalamnya tetap ada.
Meringankan
Untuk menentukan apakah pintu belakang ini memengaruhi server ESXi Anda, periksa keberadaan file yang disebutkan di atas dan baris tambahan di file “local.sh”.
Semua file konfigurasi yang tetap melakukan reboot harus diperiksa dengan cermat untuk melihat perubahan yang mencurigakan dan dikembalikan ke pengaturan yang benar.
Terakhir, admin harus membatasi semua koneksi jaringan yang masuk ke host tepercaya, dan pembaruan keamanan yang tersedia yang mengatasi eksploit yang digunakan untuk penyusupan awal harus diterapkan sesegera mungkin.
