Una nueva puerta trasera le permite a los ciberdelincuentes tomar el control de los sistemas comprometidos.
A mediados de octubre, los investigadores de Juniper Threat Labs detectaron una puerta trasera nunca antes vista que se dirigía a los servidores de virtualización VMware ESXi.
ESXi se utiliza para la virtualización de servidores y tiene la capacidad de ejecutar varias máquinas, al mismo tiempo.
Desde hace tiempo, los servidores ESXi son el objetivo de distintos ataques que explotan dos vulnerabilidades conocidas del servicio OpenSLP: CVE-2019-5544 y CVE-2020-3992.
Según los investigadores, lo más probable es que esta backdoor aproveche los fallos para realizar el compromiso inicial.
De ahí en adelante mantiene su persistencia modificando algunos archivos del sistema.
Lista de archivos modificados:
etc/rc.local.d/local.sh
/bin/hostd-probe.sh
/store/packages/vmtools.py
/etc/vmware/rhttpproxy/endpoints.conf
En las siguientes etapas, la puerta trasera lanza un script de Python que se encarga de iniciar un servidor web.
Dicho servidor acepta peticiones POST protegidas por contraseñas de los atacantes. Cada petición puede incluir una carga útil codificada en base-64 o una shell inversa que se lanza en el host de la víctima.
Si bien el script de Python empleado es multiplataforma, hay varios indicios de que fue diseñado específicamente para los servidores VMware ESXi.
Por último, en la etapa final del ataque, los actores de la amenaza cambian la configuración del proxy HTTP inverso de ESXi.
Es preciso destacar que los cambios en el archivo “/etc/vmware/rhttpproxy/endpoints.conf” son persistentes, dado que el sistema hace copias de seguridad automáticamente del mismo.
Dada la sencillez, persistencia y capacidades de esta nueva puerta trasera, se le insta a todos los administradores a implementar medidas de seguridad antimalware en sus sistemas.
Los investigadores recomiendan revisar los archivos “vmtools.py” y “local.sh” para determinar si su servidor ha sido comprometido
Recomendaciones:
Los investigadores de Juniper recomiendan implementar las siguientes medidas
Aplicar todos los parches de seguridad del proveedor lo antes posible
Restringir las conexiones de red entrantes a hosts de confianza
Comprobar el contenido o la existencia de cualquiera de los cuatro archivos modificados
Comprobar los archivos persistentes modificados del sistema en busca de cambios inesperados
Medidas para prevenir la descarga de malware
Mantenga todos sus dispositivos actualizados y parcheados
Active la autenticación de dos factores
No descargue archivos sospechosos
No abra enlaces que provengan de fuentes desconocidas
Ejecute soluciones anti-malware
Referencias:
https://securityaffairs.co/wordpress/139586/hacking/vmware-esxi-backdoor.html
https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers
https://www.vmware.com/products/esxi-and-esx.html
SÍGUENOS