Trendings e Threat Intelligence – SOC iTeam 

 CVE-2021-21974 e CVE – 2020-3992

As vulnerabilidades identificadas entre 2020 e 2021 sob sistemas que utilizam ESXi, Vmware Vcenter e Vmware Cloud Foundation, estão sendo exploradas em massa “conforme as investigações atuais” do CERT-BR.

A exploração é realizada usando uma vulnerabilidade do OpenSLP(Service Location Protocol) que permite conectar dispositivos para identificar serviços que estão disponíveis dentro da rede de gerenciamento, consultando diretórios, ou seja, um dispositivo pode consultar sobre um serviço e sua localização, fazendo uma “solicitação de serviço” e especificando o tipo de serviço que deseja, por uma URL.

Conforme Lucas Leong, hunter de ambas as vulnerabilidades mencionadas abaixo, o bug encontrado no OpenSLP está na função “SLPParseSrvURL” que é chamada quando uma mensagem de solicitação dos serviços está sendo processada.

Portanto, utilizando o bug encontrado, foram detalhadas as seguintes vulnerabilidades:                                                     .

• CVE-2021-21974 –
  Detalha a vulnerabilidade do heap-overflow, possibilitando o ator malicioso que esteja na mesma rede de gerenciamento e que tenha acesso a porta 427 a possibilidade de acionar um fluxo de pilha nos serviços do OpenSLP, resultando em uma execução de código remota.

 

• CVE-2020-3992 –
  Detalha a vulnerabilidade do use-after-free, possibilitando o ator malicioso que esteja na mesma rede de gerenciamento e que tenha acesso a porta 427 para acionar um uso livre no serviço OpenSLP, resultando em uma execução de código remota.

Conforme a divulgação da VMware, essas vulnerabilidades se enquadram para as versões abaixo:

 

 

Link: https://www.vmware.com/security/advisories/VMSA-2021-0002.html

Como protegemos o seu ambiente quanto a essas vulnerabilidades? 

Com o foco em servidores VMware ESXi sem as devidas correções para as vulnerabilidades citadas acima, o atacante tem como objetivo realizar o roubo de dados e a criptografia utilizando o ransomware ESXIArgs.
Esse ransomware criptografa arquivos com o . vmxf, .vmx, .vmdk, .vmsd, e .nvram, criando um arquivo .args para cada documento criptografado.

Quando o servidor é violado, os seguintes arquivos são armazenados na pasta “/tmp”:

• encrypt – O executável criptografador ELF.
• sh – Um script shell que atua como a lógica do ataque, realizando várias tarefas antes de executar o criptografador, conforme descrito abaixo.
• pem – Uma chave pública RSA usada para criptografar a chave que criptografa um arquivo.
• motd – A nota de resgate em forma de texto que será copiada para /etc/motd para que seja mostrada no login. O arquivo original do servidor será copiado para /etc/motd1.
• html – A nota de resgate em formato HTML que substituirá a página inicial do VMware ESXi. O arquivo original do servidor será copiado para index1.html na mesma pasta.

O malware é executado por um arquivo de shell script que se inicia com vários argumentos de linha de comando. Quando iniciado, o script irá modificar os arquivos de configuração do host.

• A seguinte linha de comando é executada no host para realizar a modificação dos arquivos “.vmx”, “.vmdk” e “.vswp”:
  • Os nomes dos arquivos de configuração são alterados para “1.vmdk” e “1.vswp”

• O script então termina todas as máquinas virtuais executando o comando “kill-9”, que realiza a eliminação forçada de todos os processos contendo a extensão “vmx”
• O script então usará o comando esxcli storage filesystem list | grep “/vmfs/volumes/” | awk -F’  ‘ ‘{print $2}” para obter uma lista dos volumes ESXi:
  

  Para cada arquivo encontrado, o script criará um arquivo [file_name].args na mesma pasta.

• Então o script usará o executável “encrypt” para criptografar os arquivos do servidor
• Após a criptografia, o script substituirá o arquivo ESXi “index.html” e o arquivo “motd” do servidor com as notas de resgate.
• As notas de resgate são chamadas de “ransom.html” e “ How to restore your files.html”

 

 

Nota de resgate ESXIArgs (BleepingComputer)

• Finalmente, o script executa alguma limpeza, removendo o que
  parece ser um backdoor instalado para /store/packages/vmtools.py [VirusTotal] e excluindo várias linhas dos seguintes arquivos:

  

  Sugestões de mecanismos para detecção desta ameaça nas regras do seu siem:      

Detecção 1:
Comunicações suspeitas utilizando a porta 427 para os Hosts ESXi:

Event Category is following  ‘firewall communication accepted”
&&
Source or Destination IP are “Hosts ESXi”
&&
Event matches “Destination port 427”
&&
Events are seen with the same “Destination port” in many minutes

Detecção 2:
Fase inicial da execução dos scripts do Ransomware ESXIArgs:

CommandLine contains “Find Config $config_file”
&&
CommandLine contains “grep “/vmfs/volumes/”

 

Recomendações

• Desabilitando os serviços do OpenSLP caso não seja necessário.
• Realizado os updates utilizando os patchs já disponibilizados desde 2021.

Produto	Versão	CVE	Soluções alternativas
ESXI	7.0	CVE-2021-2194/ CVE – 2020-3992	KB76372
ESXI	6.7	CVE-2021-2194/ CVE – 2020-3992	KB76372
ESXI	6.5	CVE-2021-2194/ CVE – 2020-3992	KB76372
Cloud Foundation	4	CVE-2021-2194/ CVE – 2020-3992	KB76372
Cloud Foundation	3	CVE-2021-2194/ CVE – 2020-3992	KB76372