Yeni yayınlanan bir güvenlik raporu VMware ESXi sunucuları ele geçirmek için Python ile geliştirilmiş bir zararlı kullanıldığını ortaya koydu. Zararlı yazılım sistemleri ele geçirmek için VMware ESXi sunucularındaki backdoorları kullanıyor. Detaylara baktığımızda ESXi’nin OpenSLP servisindeki CVE-2019-5544 ve CVE-2020-3992 güvenlik zafiyetlerinin kullanıldığı düşünülüyor.
Backdoor, “/etc/rc.local.d/local.sh” dosyası içerisine yeni satırlar ekliyor. Eklenen yeni satırlar reboot sırasında etkilenmiyor ve varlığına devam ediyor.
Saldırı, VM disk imajlarını, logları ve daha fazlasının depolandığı dizinde “/store/packages/vmtools.py” olarak kaydedilen Python scripti ile başlıyor. Kullanılan bu script şüphe yaratmaması için VMware telif hakkı bilgileri ve VMware tarafından sağlanan mevcut bir Python dosyasından farklı görünmüyor. Saldırganlar dışardan kontrol ettikleri web sunucu üzerinden bu dosyayı yönetebiliyor ve base-64 ile kodlanmış playloadlar ile reverse shell başlatabiliyor. Saldırganlar kendilerinin yönettiği uzaktaki web sunucu ile içerideki ESXi sunucu arasında bağlantı sağlamak için “/etc/vmware/rhttpproxy/endpoints.conf” dosyasını düzenliyor ve böylece içeride kalıcı olmalarını sağlıyor.
Nasıl kontrol edilir?
“local.sh” dosyası içerisinde yukarıdaki satırların var olup olmadığını kontrol edebilir siniz. Yapılandırma dosyaları incelenmeli ve ek satırların var olup olmadığı kontrol edilmelidir. Son olarak ESXi sunucularına sadece belirli ip lerden erişimlere izin verilemlidir.
Kaynak: bleepingcomputer.com