VMware ESXi を侵害する危険な攻撃：VIB 署名レベルの弱点をつく高度な手法

Dangerous New Attack Technique Compromising VMware ESXi Hypervisors

2022/09/30 DarkReading — ESXi Hypervisors に複数の永続的バックドアをインストールする、厄介な新手法を用いる中国ベースの脅威者を、Mandiant が検出したことを受け、9月29日に VMware は新しい緩和策とガイダンスを、vSphere 仮想化技術の顧客向けに緊急発表した。この、Mandiant が確認した手法は、UNC3886 として追跡されている脅威アクターが、悪意の vSphere Installation Bundles (VIB) を用いて、標的システムにマルウェアを忍び込ませるというものだ。

攻撃者は ESXi ハイパーバイザーの管理者レベルの権限が必要になるという。しかし、VMware 製品の脆弱性を悪用して、このマルウェアを導入した形跡はないと Mandiant は述べている。

広範囲に及ぶ悪意の機能

Mandiant が名付けた VIRTUALPITA および VIRTUALPIE というバックドアにより、さまざまな悪意のアクティビティを、攻撃者な実行できる。一連のアクティビティには、ESXi ハイパーバイザーへの持続的な管理者アクセスの維持、および、ハイパーバイザーを介したゲスト VM への悪意のコマンド送信、ESXi ハイパーバイザーとゲストマシン間でのファイル転送、ログサービスの改ざん、同じハイパーバイザー上の VM ゲスト間での任意のコマンドの実行などが含まれる。

Mandiant の Security Consultant である Alex Marvi は、「このマルウェアのエコシステムを利用すれば、攻撃者がハイパーバイザーにリモートアクセスし、ゲスト仮想マシン上で実行できる任意のコマンドの送信が可能になる。Mandiant が観測したバックドア VIRTUALPITA／VIRTUALPIE は、攻撃者がハイパーバイザー自体に対話的にアクセスすることを可能にする。それにより、ホストからゲストへのコマンドの受け渡しを、攻撃者は達成することになる」とのべている。 

Marvi によると、実行するコマンドを指定し、それを実行するゲストマシンを指定する、別の Python スクリプトを、Mandiant は観察したという。

Mandiant は、この方法で ESXi ハイパーバイザーが危険にさらされた、10 件未満の組織を認識していると述べている。しかし、同社は、より多くのインシデントが表面化することが予想されると、報告書の中で警告している。そこには、「UNC3886 が使用した技術においては、ESXi オペレーティングシステムと VMware の仮想化プラットフォームを、深く理解する必要があると指摘したが、他の脅威アクターたちが、この調査で概説した情報を使用して、同様の機能を構築し始めると予想される」と記されている。

VMware は、「vSphere Installation Bundles (VIB) は、配布を容易にするための単一のアーカイブに、パッケージ化されたファイルの集合体である。したがって VIB は、管理者が仮想システムを管理し、カスタムバイナリやアップデートを環境全体に配布し、ESXi システム再起動時のスタートアップ・タスクや、カスタム・ファイアウォール・ルールを作成するために設計されている」と述べている。

トリッキーな新戦術

VMware は、VIB に対して４種類の受け入れレベルを指定している。

• VMware が作成／テスト／署名した VMware 認定 VIB。
• 承認された VMware パートナーにより作成／署名された VMwareAccepted VIB。
• 信頼できる VMware パートナーが提供する PartnerSupported VIB。
• VMware パートナー・プログラム外の個人／パートナーにより作成された CommunitySupported VIB。 この CommunitySupported VIB は、VMware／パートナーによるテスト／サポートは提供されない。

ESXi イメージが作成されると、これらの受け入れレベルの、いずれかが割り当てられると Mandiant は述べている。同社は、「イメージに追加される VIB は、同じ受け入れレベルか、それ以上のレベルを必要とする。それにより、ESXi イメージの作成／保守の際に、異なるサポート・レベルの VIB が混在しないようになる」と述べている。 

VMware におけるデフォルトの VIB の受け入れレベルは、最低でもPartnerSupported となる。しかし、このレベルを管理者が手動で変更すると、VIB をインストールする際の受入レベル要件を無視するよう、プロファイルを強制することが可能になると、Mandiant は述べている。

Mandiant が観測したインシデントにおいては、この事実を悪用する攻撃者は、最初に CommunitySupport レベルの VIB を作成し、その記述子ファイルを修正して、VIB が PartnerSupported であるかのように装ったようだ。そして、VIB の使用に関連する強制フラグ・パラメータを使用して、ターゲットの ESXi ハイパーバイザーに悪意の VIB をインストールした。Marvi は、VIB の最小限の受け入れ要件を、管理者が上書きできることを考えると、force パラメータは弱点と見なされるべきかという質問を、VMwareに投げかけている。

セキュリティの運用ミス？

VMware の広報担当者は、この問題が弱点であることを否定している。同社が Secure Boot を推奨しているのは、この force コマンドを無効化するためだという。同社は、「攻撃者が force コマンドを実行するには、ESXi へのフルアクセスが必要であり、このコマンドを無効にするには Secure Boot の２層目のセキュリティが必要である」と述べている。 

また、VIB が改ざんされた可能性がある場合に、それを特定するメカニズムが利用可能であることも指摘している。 VMWare は、Mandiant の報告書と同時に発表したブログ記事で、今回の攻撃は、被害者である組織側の運用上のセキュリティ上の弱点が、原因である可能性が高いと述べている。また、VIB の悪用などの脅威から保護するために、組織が環境を設定する具体的な方法を概説している。

VMware は、ソフトウェア・ドライバなどのコンポーネントを検証するために、Secure Boot／Trusted Platform Modules／Host Attestation の実装を推奨している。VMware は、「Secure Boot を有効にすると、CommunitySupported アクセプタンス・レベルの使用がブロックされ、攻撃者が force パラメータを使用しても、署名されていない VIB や、不適切に署名された VIB のインストールは許可されない」と述べている。

また、同社は、組織は堅牢なパッチ適用とライフサイクル管理を実施し、VMware Carbon Black Endpoint や VMware NSX スイートなどを用いて、ワークロードを堅牢化する必要があると述べている。

その一方で、9月29日に Mandiant は、今回に観測されたような脅威を、組織が検知する方法と、それに対して、ESXi 環境を堅牢化する方法を詳述した、２つ目のブログ記事も発表しているま。その中では挙げられているのは、ネットワークの分離／強固なアイデンティティとアクセス管理／適切なサービス管理の実践である。

Vulcan Cyber の Senior Technical Engineer である Mike Parkin は、「この攻撃は、攻撃者がターゲット環境において持続性を維持し、その存在を拡大するための、非常に興味深い手法を実証している。 この攻撃は、一般的な APT グループが展開するものというよりも、十分な資金を持つ、国家や国営の脅威グループが使用するものに見える」と発言している。

Parkin は、「VMware のテクノロジーは、同社が推奨する構成と業界のベストプラクティスを用いて導入すれば、非常に堅牢で耐障害性に優れている。しかし、脅威アクターが管理者権限でログインしている場合には、事態は困難なものになる。攻撃者としては、root さえ取得できれば、いわば王国の鍵を手に入れたようなものだ」と指摘している。

VMware と Mandiant の間で、見解の相違があるようですが、文末の Parkin さんのコメントが、すべてを言い表していると思えます。それは、このところ侵害が目立つ、パスワード・マネージャーにも言えることで、一点突破で全てが危殆化してしまう怖さでもあります。なにがゼロトラストなのかと、考えさせられるポイントですね。