Kiberbiztonsági szakértők arra figyelmeztetnek, hogy megemelkedtek a VMware vSphere ESXi virtuális szerverkörnyezetek elleni ransomware támadások ─ sajnos már hazai cég is szerepel az áldozatok között. A Truesec ajánlása szerint ─ az olyan általános jó gyakorlatokon túlmenően, mint például erős jelszavak alkalmazása az admin fiókokon, illetve a biztonsági frissítések mielőbbi telepítése ─ az ESXi hosztokat ellenállóbbá tehetjük a ransomware támadásokkal szemben egy kevésbé ismert beállítás, a „VMkernel.Boot.execInstalledOnly” alkalmazásával.
Az ESXi hosztok azért jelentenek vonzó célpontot, mert a támadók egyszerre több virtuális szerver által tárolt adatot is titkosíthatnak.
A kill chain főbb lépései
- A támadó elsőként hozzáférést szerez egy szerverhez vagy klienshez. Ez tipikusan sérülékenységek, hibás konfigurációk kihasználásával, vagy adathalászat útján történik.
- A következő lépésben céljuk egy Domain Admin fiók kompromittálása az Active Directory-ban.
- Ezt követően a vCenter Serverhez próbálnak admin-szintű hozzáférést szerezni. Ez akkor lehetséges, ha a vCenter a jogosultság-kezelést AD-val végzi.
- Amennyiben sikerül hozzáférést szerezni egy adminisztrátori jogosultságú fiókhoz, a támadó megpróbál jelszót cserélni az ESXi hosztokon, illetve ha engedélyezve van, letiltani a Lockdown Mode-ot.
- A támadó SSH-n hozzáfér az ESXi hoszthoz és feltölti a ransomware kódot, ami az elérhető Datastore-okon letitkosítja a VM-ek vmdk fájljait, amivel közvetlenül komplett virtuális szervereket tehet elérhetetlenné.
Az execInstalledOnly engedélyezése
(Figyelmeztetés: a javasolt beállítás alkalmazása előtt először tesztkörnyezetben próbáljuk ki, valamint bizonyosodjunk meg arról, hogy a használatban lévő third party alkalmazások is támogatják ezt a funkciót. Érdemes megemlíteni azt is, hogy az ESXi 8 fölötti verziókban ez alapértelmezetten engedélyezve van.)
- (opcionális) A TPM 2.0 biztonsági chip alkalmazása
A legtöbb mai szerver már rendelkezik beépített második generációs biztonsági TPM chippel. A technológia lényege, hogy integrált kriptográfiai kulcsok használatával biztosítja egyes kritikus folyamatok integritását ─ mint például a bootolás vagy a lemeztitkosítás. Minderről bővebb információ a VMware oldalán itt található. Ezen kívül a vSphere 7.0 U2 és ennél újabb verziók esetében a konfigurációs fájl illetéktelen módosítása ellen is nyújt némi védelmet, erről bővebben itt olvashat. - Secure Boot alkalmazása
Ez az UEFI BIOS funkció gondoskodik például arról, hogy a boot folyamat alatt csak digitálisan hitelesített kódok futhassanak, emellett a vSphere VIB telepítési csomagok védelmét is növelhetjük általa, amiről ismert, hogy támadók (VIRTUALPITA, VIRTUALPIE) sikerrel használták fel perzisztencia szerzésre. Érdemes megemlíteni, hogy a secure boot bekapcsolása nem igényli az ESXi újratelepítését. - execInstalledOnly engedélyezése
A beállítással letilthatunk minden olyan kód futását, ami nem hitelesített VIB csomagon keresztül került telepítésre. A beállítást engedélyezhetjük egyes ESXi hosztok esetében, például a vSphere webkliensével, de akár egyszerre több hoszton is érvényesíthetjük, a PowerCLI segítségével.
