Des cyberespions élaborent des backdoors pour ESXi de VMware

Des experts ont découvert une groupe de pirates qui a emballé et déployé des portes dérobées sous forme de paquet vSphere Installation Bundles. Elles disposent de capacités d'exécution de code à distance et de persistance.

La dernière famille de malwares identifiée par les chercheurs de Mandiant ajoute des portes dérobées et crée une persistance sur les serveurs VMware ESXi en exploitant les fonctionnalités supportées par l'hyperviseur. Selon les spécialistes qui ont découvert et analysé les backdoors, celles-ci ont été emballées et déployées sur les serveurs infectés sous forme de paquet vSphere Installation Bundles (VIB). Ces paquets logiciels sont utilisés pour distribuer des composants qui étendent les fonctionnalités d'ESXi. Les VIB malveillants offraient aux pirates des capacités d'exécution de commandes à distance et de persistance sur les serveurs, ainsi que la possibilité d'exécuter des commandes sur les machines virtuelles invitées fonctionnant sur les serveurs.

Des VIB non signés difficiles à détecter

Par défaut, ESXi est configuré pour n'accepter que l'installation de VIB VMWareCertified, VmwareAccepted, ou PartnerSupported. À ces niveaux d'acceptation, les bundles doivent être signés numériquement soit par VMware, soit par un partenaire dont la signature est considérée de confiance par le spécialiste de la virtualisation. Mais les VIB d’un quatrième niveau d'acceptation appelé CommunitySupported n'ont pas besoin d'être signés numériquement. L'inconvénient, c’est que ces bundles doivent être déployés par un administrateur en utilisant intentionnellement le drapeau -force sur la commande d'installation via l'outil de ligne de commande esxcli. Le fichier manifeste des VIB malveillants découverts par Mandiant avait été modifié pour indiquer « partner » comme niveau d'acceptation, mais en réalité, il n'avait pas de signature numérique et avait été déployé à l'aide de la commande -force. Cela signifie que les attaquants avaient déjà un accès de niveau administrateur aux serveurs avant de les déployer, et qu'il s'agissait donc d'une charge utile de dernière minute. Le fait de préciser « partner » comme source dans le manifeste des VIB malveillants fait que les paquets sont identifiés comme PartnerSupported quand la commande esxcli software vib list est utilisée, alors que ce n’est pas le cas. Cet oubli de la commande qui affiche simplement ce que dit le manifeste a permis aux attaquants de mieux cacher les portes dérobées aux administrateurs. Pour les découvrir, les administrateurs auraient dû utiliser la commande esxcli software vib signature verify qui aurait vérifié la signature numérique de tous les VIB déployés sur leurs serveurs.

Date : 15 Octobre 2022

Source : https://www.lemondeinformatique.fr/actualites/lire-une-faille-dans-onedrive-exploitee-pour-du-cryptojacking-88281.html