Een nooit eerder ontdekte aanvalstechniek maakt het mogelijk om VMware ESXi hypervisors te infiltreren. Onbekende cybercriminelen gebruikten de techniek in de praktijk om organisaties aan te vallen. Dat onthult securitybedrijf Mandiant in een nieuw rapport.

VMware ESXi is een van meest gebruikte hypervisors ter wereld. Een nooit eerder ontdekte aanvalstechniek maakt het mogelijk om de hypervisor te infiltreren. Securitybedrijf Mandiant ontdekte in april 2022 dat de techniek door onbekende cybercriminelen is gebruikt voor aanvallen op organisaties. Het rapport werd onlangs gepubliceerd.

vSphere Installation Bundles

De techniek maakt het mogelijk om de ESXi-omgeving van een doelwit te infiltreren. Mandiant trof de malware bij “minder dan tien organisaties” aan. De schaal van het probleem lijkt beperkt, maar schijn bedriegt. VMware ESXi is enorm populair en de methode stelt aanvallers in staat om een volledige hypervisor te kapen. De potentiële schade is enorm.

Een aanvaller heeft beheertoegang nodig om de techniek te misbruiken. De beheertoegang stelt een aanvaller in staat om kwaadaardige vSphere Installation Bundles (VIB’s) uit te rollen. De malware maakt het mogelijk om beheertoegang tot VMware ESXi te behouden, ook na een reboot. Aanvallers kunnen commands naar hypervisors sturen en uitvoeren op virtuele machines (VM’s), de logs van de hypervisor manipuleren en bestanden tussen VM’s uitwisselen.

VMware is niet de oorzaak

Mandiant heeft geen bewijs dat de daders van het ontdekte incident een kwetsbaarheid in VMware ESXi misbruikten om beheertoegang te krijgen. VMware is dan ook niet de oorzaak van het probleem. VIB’s zijn een belangrijk en legitiem onderdeel van ESXi. “De pakketten worden over het algemeen gebruikt door beheerders om updates te implementeren en systemen te onderhouden”, legde Mandiant uit. “De aanvallers gebruikten de pakketten echter om toegang tot ESXi hypervisors te behouden.”

De identiteit van de cybercriminelen is onbekend. Het rapport suggereert dat de techniek in het verleden is gebruikt voor meerdere aanvallen, maar Mandiant weet niet of de dader(s) bij dezelfde groep of coalitie horen. De organisatie noemt de dreiging UNC3886. “Gezien de zeer gerichte en ontwijkende aard van deze inbraak, vermoeden we dat UNC3886 verband houdt met cyberspionage.”

Voorkomen

In het onderzoeksrapport beschrijft Mandiant de technische details van de aanvalsmethode. De organisatie stelt dat een aanvaller heel veel kennis over ESXi en VMware nodig heeft om de techniek te gebruiken. Desalniettemin verwacht Mandiant op de korte termijn een golf van vergelijkbare aanvallen.

Het onderzoeksrapport is openbaar, waardoor cybercriminelen de methode kunnen nabootsen. Vandaar schreef Mandiant een uitgebreide blog over het beveiligen ESXi-omgevingen. De stappen maken het mogelijk om vergelijkbare aanvallen te voorkomen.

Tip: ‘Security-industrie is goed in geld verdienen, maar beveiligt klanten niet’