یک backdoor Python که قبلا مستند نشده است، سرورهای VMware ESXi را هدف خود قرار داده و هکرها را قادر می سازد تا دستورات خود را از راه دور بر روی یک سیستم در معرض خطر، اجرا نمایند.
این backdoor جدید توسط محققان Juniper Network کشف شده است. آنها معتقد هستند که سرور احتمالا با استفاده از آسیب پذیری های CVE-2019-5544 و CVE-2020-3992 در سرویس OpenSLP آلوده شده است.
در حالیکه بدافزار از لحاظ فنی قابلیت هدف قرار دادن سیستم های Linux و Unix را دارد، طبق بررسی محققان نشانه های مختلفی وجود دارد که نشان می دهد برای حملات به ESXi طراحی شده اند.
Backdoor operation
این backdoor جدید 7 خط کد در “/etc/rc.local.d/local.sh” یکی از فایلهای ESXi بوده، اضافه میکند که در مرحله Reboot باقی مانده و در زمان Startup اجرا می شود.
معمولاً آن فایل به غیر از یک سری نظرات مشاوره و یک بیانیه خروج، خالی است.
یکی از آن خطها، اسکریپت Pythonی را به عنوان ” /store/packages/vmtools.py,”در دایرکتوری اجرا کرده که Imageها، Logها و … را ذخیره می کند.
نام و مکان اسکریپت مذکور محققان را به این نتیجه رسانده است که اپراتورهای بدافزار به طور خاص هدفشان سرورهای VMware ESXi است.
این اسکریپت وب سروری را اجرا می کند که درخواستهای Password-protected POST را از مهاجمان راه دور می پذیرد. این درخواستها می تواند یک دستور بارگذاری کد شده 64-bit را به همراه داشته باشند یا یک reverse shell بر روی هاست اجرا کند.
reverse shell باعث می شود سرور در معرض خطر ارتباط با مهاجم و هکر را شروع کند، تکنیکی که اغلب به دور زدن محدودیتهای فایروال کمک می کند یا روی محدودیتهای ارتباطی شبکه کار می کنند.
یکی از اقدامات مشاهده شده مهاجمان، این بوده است که تنظیمات پروکسی HTTP در ESXi را معکوس کرده تا امکان دسترسی از راه دور برای ارتباط با وب سرور را به آنها بدهد.
راهکار تعدیل کننده
برای اطلاع از اینکه آیا سرور ESXi شما نیز آلوده شده است یا خیر، بررسی کنید که فایل ها و خطوط اضافه شده که بالاتر گفته شده در فایل Local.sh وجود نداشته باشد.
همه فایلهای پیکربندی که همچنان اصرار به راهاندازی مجدد دارند، باید برای تغییرات مشکوک بررسی شوند و به تنظیمات صحیح برگردند.
در نهایت، ادمین ها باید تمام اتصالات شبکه ورودی را به هاست های قابل اعتماد محدود کنند و در صورتیکه که قبلا نصب وصله ها منتشر شده برای آسیب پذیری های موجود را به تاخیر انداخته اند، در اسرع وقت انجام دهند.
منبع : https://www.bleepingcomputer.com