Um agente de ameaças ainda desconhecido está vasculhando as redes em busca de sistemas VMware para espalhar malware em servidores. O aviso vem da Mandiant, que descobriu um novo ecossistema de malware preparado para atingir hipervisores VMware ESXi, servidores Linux vCenter e máquinas virtuais Windows. O ataque funciona com a instalação de VIBs (VMware vSphere Installation Bundles) maliciosos, que trazem backdoors para os hipervisores ESXi.
Veja isso
Backdoor SessionManager visa servidores Exchange no mundo
Backdoor localizado em clientes de WordPress da GoDaddy
A Mandiant não tem por enquanto evidências do uso de um zero day para obtenção de acesso inicial ou implantação dos VIBs maliciosos; o invasor precisa de privilégios em nível de administrador para o hipervisor ESXi antes de implantar malware. Por precsução, a Mandiant e a VMware estão recomendando aos administradores que bloqueiem seus hipervisores ESXi da seguinte maneira:
— ao configurar a rede nos hosts ESXi, ativar apenas os adaptadores de rede VMkernel na rede de gerenciamento isolada. Certificar-se de que todas as tecnologias dependentes, como vSANs e sistemas de backup que a infraestrutura de virtualização usará, estejam disponíveis nessa rede isolada;
— considerar o desacoplamento dos servidores ESXi e vCenter do Active Directory e adoção do vCenter Single Sign-On. A remoção do ESXi e do vCenter do Active Directory impedirá que qualquer conta comprometida do Active Directory seja usada para autenticar diretamente na infraestrutura de virtualização;
— implementar o modo de bloqueio. Isso garante que os hosts ESXi só possam ser acessados por meio de um vCenter Server, desabilita alguns serviços e restringe alguns serviços a determinados usuários definidos;
— garantir que todos os logs do host ESXi e do vCenter Server sejam encaminhados para a solução SIEM (gerenciamento de eventos e informações de segurança) da organização.
A documentação da Mandiant sobre esse problema está em duas publicações da empresa:
“https://www.mandiant.com/resources/blog/esxi-hypervisors-malware-persistence” e
“https://www.mandiant.com/resources/blog/esxi-hypervisors-detection-hardening”.