安全焦点
黑客曝光50万Fortinet VPN用户的登录凭证
一份包含 50 万名 Fortinet VPN 用户的登录凭证近日被黑客曝光,据称这些凭证是去年夏天从被利用的设备上刮取的。该黑客表示,虽然被利用的 Fortinet 漏洞后来已经被修补,但他们声称许多 VPN 凭证仍然有效。这次泄漏是一个严重的事件,因为 VPN 凭证可以让威胁者进入网络进行数据渗透,安装恶意软件,并进行勒索软件攻击。Fortinet 凭证清单是由一个被称为“Orange”的黑客免费泄露的,他是新发起的 RAMP 黑客论坛的管理员,也是 Babuk 勒索软件行动的前操作者。
外媒没有测试任何泄露的凭证是否有效,但可以确认我们检查的所有 IP 地址都是 Fortinet 的 VPN 服务器。Advanced Intel 进行的进一步分析显示,这些 IP 地址是全球范围内的设备,有 2959 个设备位于美国。
目前还不清楚为什么威胁者发布了这些凭证,而不是为自己所用,对于广大奋斗Fortinet VPN用户来说,看到这条新闻后,马上更新Fortinet设备补丁,才是要务。
安全风险
蓝牙“BrakTooth”漏洞可能会影响数十亿台设备
近期消息,商业蓝牙堆栈中的一个新的安全漏洞系列BrakTooth,影响了包括英特尔、高通和德州仪器在内的11家供应商的13款蓝牙芯片组,专家估计可能有1400多种商业产品受到影响。新加坡科技设计大学的研究人员发布了有关BrakTooth的详细信息,这是商业蓝牙堆栈中的一个新的安全漏洞系列,他们的名字来自挪威语“Brak”,意为“崩溃”。深入研究后,研究人员发现超过1400个产品列表受到BrakTooth的影响,该列表包括但不限于以下类型的设备:智能手机,信息娱乐系统笔记本电脑和台式机系统
,音频设备(扬声器、耳机)家庭娱乐系统,键盘,玩具,工业设备(例如可编程逻辑控制器 - PLC)。
漏洞的三种主要攻击场景,其中最严重的会导致物联网 (IoT) 设备上的 ACE。
1.智能家居设备的任意代码执行
在BrakTooth的16个漏洞中,其中一个被跟踪为CVE-2021-28139,它的风险比其他漏洞更高,因为它允许任意代码执行。该漏洞影响带ESP32 SoC电路的设备,该电路在许多用于家庭或工业自动化的物联网设备中使用。ESP32 SoC是一系列低成本、低功耗、集成Wi-Fi和双模蓝牙的SoC微控制器,由供应商Espressif提供。这些常见于用于工业自动化、智能家居设备、个人健身小工具等的物联网设备中。
2.DoSing 笔记本电脑和智能手机
第二种攻击场景可能会导致笔记本电脑和智能手机中的DoS。通过使用包含英特尔l AX200 SoC和高通WCN3990 SoC的设备可以触发这一点。攻击者可以通过 (a) 分页、(b) 发送格式错误的数据包和 (c) 在不发送 LMP_detach 的情况下断开连接来耗尽 SoC。受影响的产品列表包括戴尔的笔记本电脑和台式机(Optiplex、Alienware)、微软Surface设备(Go 2、Pro 7、Book 3)和智能手机(例如 Pocophone F1、Oppo Reno 5G)。
3.BT音频产品冻结
在探测各种BT扬声器(特别是Mi便携式蓝牙扬声器 – MDZ-36-DB、BT耳机和BT音频模块)和无品牌BT音频接收器时发现了第三种攻击场景。它们都受到一系列错误的影响(CVE-2021-31609 和 CVE-2021-31612,发送超大LMP 数据包时失败;CVE-2021-31613,截断数据包;CVE-2021-31611,启动程序外顺序;以及 CVE-2021-28135、CVE-2021-28155 和 CVE-2021-31717,功能响应泛滥)。研究人员指出,对于小米MDZ-36-DB 和 JBL TUNE 500BT,这可以在用户播放音乐时实现攻击。
这一系列问题影响了从消费电子产品到工业设备的各种设备。相关风险范围从拒绝服务、设备死锁到任意代码执行。考虑到蓝牙漏洞可能影响范围广大,蓝牙漏洞尤其令人担忧。建议使用者密切关注蓝牙连接行为,并在确认有更新补丁时及时更新修补漏洞。
企业安全
针对VMware vSphere的勒索攻击
VMware vSphere(简称vSphere)是VMware的一整套云计算基础架构虚拟化平台,自发布更新以来在全球已经拥有超过250000客户,其客户包括政府、军队、医疗、能源、交通、教育等在内的基础设施领域,同时,谷歌云、阿里云、亚马逊云等云服务提供厂商均对客户提供完整的vSphere虚拟化服务,相关市场也同样庞大。拥有如此庞大的市场,vSphere被勒索组织盯上也不足为奇,但是其客户几乎涵盖所有领域,一旦产品出现漏洞被攻击者利用导致主机被勒索病毒攻击,不仅将造成财产损失,更有可能直接威胁国家安全。
VMware ESX/ESXi(简称ESX/ESXi)是vSphere的核心组件之一。在vSphere中,ESX/ESXi是一个虚拟机管理程序,用于创建、运行和管理虚拟机进程的中间软件层,运行在基础物理服务器和操作系统之间,并且允许多个操作系统共享主机硬件。其实,ESX/ESXi并不依赖其它操作系统,而是直接安装在物理设备上,然后以ISO 的形式提供服务;用户直接在ESX/ESXi中创建、运行和管理自己的虚拟机。
在实际场景中,企业为了提高性能和成本效益同时实现简化数据中心和方便大规模管理,往往会在一台ESX/ESXi服务器中部署数台甚至数十台虚拟机作为日常的工作服务主机或者数据库。所以,ESX/ESXi主机中会保存着与它在同一物理主机上的其他虚拟机的源文件以便对这些虚拟机进行管理,它就好比存放着数台服务器的机房,如果机房被人劫持,将对一个企业或组织造成难以估量的损失,这也是ESX/ESXi主机会成为勒索组织攻击目标的主要原因之一;另一个原因则是,ESX/ESXi上部署的服务器/数据库可能需要向客户提供服务,这也使得攻击者有机会直接从网络接触到VMware ESX/ESXi主机,为攻击者提供了入侵的可能性。VMware公司当然也非常清楚其产品安全的重要性,vSphere 5.0 之前的版本中均采用ESX体系结构来实现对虚拟机的管理,ESX是依赖于Linux的控制台操作系统 (COS) 来实现可维护性和基于代理的合作伙伴集成的,而Linux作为开源系统,与Linux相关的漏洞在各大安全社区和地下产业中层出不穷,这将VMware ESX架构置于一个高风险处境;为了提高基础架构的安全性,vSphere 5.0之后的版本中则采用了独立于操纵系统的新 ESXi 体系结构,并且在自己研发的核心 VMkernel 中实现了必备的虚拟机管理功能,这也就规避了与通用操作系统相关的安全漏洞引发的安全风险。
VMware vCenter Server(简称vCenter Server)是vSphere的另外一个核心组件,它是一个可以帮助用户管理多个VMware虚拟化平台的软件,需要单独安装在一台服务器中。在vSphere中,用户可以将多个ESX/ESXi 主机添加到vCenter Server 管理平台中,然后通过vCenter Server管理ESX/ESXi主机和其中创建的所有虚拟机。虽然目前发现的勒索软件针对的是ESX/ESXi主机,但vCenter Server可以直接管理ESX/ESXi多台主机。如果vCenter Server存在漏洞被攻击者利用,那么就无疑将数台ESX/ESXi主机的大门向攻击者敞开,攻击者可以肆意在ESX/ESXi中部署勒索软件,其后果的严重性可想而知。
最近几年,勒索组织逐渐开始把目标延伸到VMware vSphere平台上,通过对其中ESX/ESXi服务器上的数台虚拟机系统文件进行加密从而向受害组织/企业勒索高额的赎金。Sprite Spider勒索组织就开始对其勒索软件进行升级,使其在检测到ESXi主机后部署RansomEXX恶意程序试图窃取登录凭证向vCenter进行身份认证;同样对勒索软件进行ESX/ESXi针对性升级的还有勒索组织carbon spider、BabukLocker、REvil和BlackMatter。
针对VMware虚拟机的勒索病毒攻击事件也开始频发,巴西高等法院(STJ)受到大规模 RansomExx 勒索软件攻击,超过1000台虚拟机文件被加密,此次事件与之前进行VMware ESX/ESXi软件升级的Sprite Spider勒索组织是否有关联,我们无从得知。
2019年底和2020年,VMware分别发布安全通告修复了多个产品漏洞,其中VMware ESXi的两个漏洞CVE-2019-5544和CVE-2020-3992将导致VMware ESXi服务器上的远程代码执行,VMware已经对这两个漏洞进行了评估,并定级为严重,CVSSv3 评分 9.8。这两个漏洞将影响多个版本的VMware vSphere用户,随后VMware提供修复补丁,但仍有大批客户因为各种原因并未对其使用的ESX/ESXi进行补丁,这为攻击者提供了便捷的入侵VMware ESX/ESXi主机的方法和手段。
在实际场景中,ESX/ESXi主机上会部署多台虚拟机对普通用户提供基本服务,如果配置不当,普通用户能通过网络能访问ESX/ESXi主机,这就会给黑客提供可乘之机;通常情况下,黑客首先会在地下论坛中寻求指定版本的ESX/ESXi漏洞利用程序或root登录权限,当获取到漏洞利用程序或root登录权限后,黑客就能直接入侵ESX/ESXi主机并且在其中部署勒索软件对其中的虚拟机进行加密并勒索赎金。
根据目前所得勒索攻击的手段建议进行如下加固:
* 建议使用 TPM 2.0 芯片进行vSphere进行安全配置。
* 在物理服务器上启用UEFI安全启动功能,通过确保在引导中加载的所有代码都经过数字签名且未被篡改,从而加强操作系统的安全性。
* 禁止在ESX/ESXi主机上执行自定义代码,保证ESX/ESXi主机拒绝执行任何未通过认证合作伙伴签名的 VIB 包安装的代码。
* 当vSphere平台相关的产品存在安全补丁发布时,积极参与系统及相关的虚拟化平台组件(vCenter服务器、ESX/ESXi主机、VMware工具等)的更新。
* 对虚拟机平台的管理账户使用高强度密码。
* 在内部网络中进行网络区域划分,将对外服务的主机和仅内部访问的主机进行分开管理,并且为虚拟平台管理员提供专用的vCenter服务器和ESX/ESXi管理接口以及专用的工作站。
* 配置集中式的记录日志,防止管理系统配置和环境遭到篡改。
* 尽可能高频率地进行系统备份,以便在遭到勒索攻击后能尽快地实现系统恢复。
如对Vmware Vsphere勒索攻击防护进一步了解,请联系蓝盟IT外包获取免费咨询。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
