IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

کشف یک Backdoor ناشناخته و جدید در VMware ESXi

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir a custom python backdoor for vmware esxi servers 1
یک Backdoor جدید پایتون سرور‌های VMware ESXi را هدف قرار می‌دهد و به مهاجمان اجازه می‌دهد تا کنترل سیستم‌های در معرض خطر را در دست بگیرند.

محققان Juniper Networks یک backdoor پایتون که قبلا مستند و شناسایی نشده بود را مشاهده کردند که سرور‌های VMware ESXi را هدف قرار می‌دهد. محققان این backdoor را در اکتبر ٢٠٢٢ کشف کرده و خاطرنشان کردند که این ایمپلنت به دلیل سادگی، ماندگاری و قابلیت‌های آن، بسیار جالب توجه است.

کارشناسان به دلیل نگهداری محدود لاگ در سرور آسیب‌دیده، قادر به تعیین نفوذ و خطرآفرینی اولیه نبودند، اما آنها حدس می‌زنند که مهاجمان ممکن است از مشکلات قبل‌تر شناخته شده (مانند CVE-2019-5544 و CVE-2020-3992) در سرویس OpenSLP ESXi سواستفاده کرده باشند.

این backdoor با تغییر برخی فایل‌های سیستمی مانند /etc/rc.local.d/local.sh که در هنگام راه‌اندازی اجرا می‌شود، ماندگاری خود را حفظ می‌کند.

takian.ir a custom python backdoor for vmware esxi servers 2

دستور کد زیر یک اسکریپت پایتون را راه اندازی می‌کند که یک وب سرور را راه اندازی می‌کند. وب‌سرور درخواست‌های POST محافظت‌شده با رمز عبور مهاجمان را می‌پذیرد، هر درخواست می‌تواند شامل یک payload کامند کدگذاری شده base-64 باشد یا یک reverse shell روی هاست راه‌اندازی کند.

takian.ir a custom python backdoor for vmware esxi servers 3

تجزیه‌و‌تحلیل منتشر شده توسط Juniper می‌گوید : "در حالی که اسکریپت پایتون مورد استفاده در این حمله، کراس پلتفرم است و می‌تواند با تغییرات اندک یا بدون تغییر در لینوکس یا سایر سیستم‌های مشابه یونیکس استفاده شود، نشانه‌های متعددی وجود دارد که این حمله به‌طور خاص برای هدف قرار دادن ESXi طراحی شده است. نام فایل و مکان آن، /store/packages/vmtools.py، برای ایجاد اندکی شک در هاست مجازی‌سازی انتخاب شده است. "

در زیر لیست فایل‌های نصب شده یا تغییر یافته در این حمله آمده است :

/etc/rc. local. d/local.sh : در RAM ذخیره می‌شود، اما از تغییرات پشتیبان‌گیری می‌شود و با راه‌اندازی مجدد بازیابی می‌شوند.

/bin/hostd-probe.sh : تغییرات در RAM ذخیره می‌شوند و پس از راه اندازی مجدد، مجددا اعمال می‌شوند.

/store/packages/vmtools.py : ذخیره شده در محل‌های دیسک دائمی مورد استفاده برای دیسک ایمیج VM، لاگ‌ها و غیره.

/etc/vmware/rhttpproxy/endpoints.conf : تغییرات در RAM ذخیره می‌شوند و پس از راه‌اندازی مجدد، مجددا اعمال می‌شوند.

به‌منظور اجازه دسترسی به مهاجمان از راه دور، آنها پیکربندی پروکسی معکوس HTTP ESXi را تغییر دادند. مپینگ آدرس مسیر‌ها به پورت‌های شبکه در فایل پیکربندی /etc/vmware/rhttpproxy/endpoints.conf ذخیره می‌شود.

تغییرات فایل فوق دائمی است زیرا یکی از فایل‌های سیستمی است که در راه‌اندازی مجدد به طور خودکار پشتیبان‌گیری شده و بازیابی می‌شود.

به‌منظور تعیین اینکه آیا نصب شما به خطر افتاده است، محققان توصیه می‌کنند فایل‌های vmtools.py و local.sh کاملا بررسی شوند.

این گزارش نتیجه میگیرد که : "رمز عبور هش شده در vmtools.py ویرایش شده، زیرا ممکن است به طور منحصر‌به‌فرد سرور در معرض خطر را شناسایی کند، بنابراین هش فایل نباید به‌عنوان یک IOC استفاده شود. تغییرات hostd-probe.sh و endpoints.conf به طور کامل در بالا نشان داده شده است. "

کارشناسان همچنین توصیه می‌کنند که همه پچ‌های منتشر شده توسط تامین‌کننده در اسرع وقت اعمال شوند و اتصالات شبکه ورودی نیز به هاست‌های مورد اعتماد محدود گردد.

برچسب ها: Cross-platform, Host, local.sh, vmtools.py, HTTP ESXi, POST, OpenSLP ESXi, CVE-2020-3992, CVE-2019-5544, Reverse Proxy, پروکسی معکوس, Script, لاگ, Unix, یونیکس, reverse shell, اسکریپت, VMware ESXi, ESXi, Log, پچ, پایتون, Python, Linux, لینوکس, Patch, VMware, دفاع سایبری, Cyber Security, backdoor, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل