नया पायथन मालवेयर रिमोट एक्सेस के लिए VMware ESXi सर्वर को बैकडोर करता है

VMware ESXi सर्वरों को लक्षित करने वाला एक पूर्व-दस्तावेजित पायथन बैकडोर देखा गया है, जिससे हैकर्स को एक समझौता किए गए सिस्टम पर दूरस्थ रूप से कमांड निष्पादित करने में सक्षम बनाया गया है।

VMware ESXi एक वर्चुअलाइजेशन प्लेटफॉर्म है जिसका उपयोग आमतौर पर सीपीयू और मेमोरी संसाधनों का अधिक प्रभावी ढंग से उपयोग करते हुए एक डिवाइस पर कई सर्वरों को होस्ट करने के लिए किया जाता है।

नए बैकडोर की खोज जुनिपर नेटवर्क्स के शोधकर्ताओं ने की, जिन्होंने VMware ESXi सर्वर पर बैकडोर पाया। हालाँकि, वे यह निर्धारित नहीं कर सके कि सीमित लॉग प्रतिधारण के कारण सर्वर से कैसे समझौता किया गया।

उनका मानना ​​​​है कि ESXi की OpenSLP सेवा में CVE-2019-5544 और CVE-2020-3992 भेद्यता का उपयोग करके सर्वर से समझौता किया गया हो सकता है।

जबकि मैलवेयर तकनीकी रूप से लिनक्स और यूनिक्स सिस्टम को लक्षित करने में सक्षम है, जुनिपर के विश्लेषकों ने कई संकेत पाए कि यह ESXi के खिलाफ हमलों के लिए डिज़ाइन किया गया था।

बैक डोर ऑपरेशन

नया अजगर पिछले दरवाजे “/etc/rc.local.d/local.sh,” के अंदर सात पंक्तियों को जोड़ता है, कुछ ESXi फ़ाइलों में से एक है जो रिबूट के बीच जीवित रहती है और स्टार्टअप पर निष्पादित होती है।

आमतौर पर, वह फाइल खाली होती है, इसके अलावा कुछ सलाहात्मक टिप्पणियां और एक एक्जिट स्टेटमेंट भी होता है।

अतिरिक्त लाइनें ESXi फ़ाइल में जोड़ी गई हैं (जुनिपर नेटवर्क)

उन पंक्तियों में से एक एक निर्देशिका में “/store/packages/vmtools.py,” के रूप में सहेजी गई एक पायथन स्क्रिप्ट को लॉन्च करती है जो VM डिस्क छवियों, लॉग और बहुत कुछ को संग्रहीत करती है।

स्क्रिप्ट का नाम और स्थान जुनिपर नेटवर्क को विश्वास दिलाता है कि मैलवेयर ऑपरेटर विशेष रूप से VMware ESXi सर्वर को लक्षित करना चाहते हैं।

“जबकि इस हमले में उपयोग की जाने वाली पायथन लिपि क्रॉस-प्लेटफ़ॉर्म है और इसका उपयोग लिनक्स या अन्य यूनिक्स जैसी प्रणालियों पर बहुत कम या बिना किसी संशोधन के किया जा सकता है, ऐसे कई संकेत हैं कि यह हमला विशेष रूप से ESXi को लक्षित करने के लिए डिज़ाइन किया गया था,” जुनिपर नेटवर्क बताते हैं। रिपोर्ट।

“फ़ाइल का नाम और उसका स्थान, /store/packages/vmtools.py, वर्चुअलाइजेशन होस्ट पर थोड़ा संदेह पैदा करने के लिए चुना गया था।”

“फ़ाइल सार्वजनिक रूप से उपलब्ध उदाहरणों के अनुरूप VMware कॉपीराइट के साथ शुरू होती है और VMware द्वारा प्रदान की गई मौजूदा पायथन फ़ाइल से चरित्र-दर-चरित्र लिया जाता है।”

यह स्क्रिप्ट एक वेब सर्वर लॉन्च करती है जो रिमोट थ्रेट एक्टर्स से पासवर्ड से सुरक्षित POST अनुरोध स्वीकार करता है। ये अनुरोध बेस -64 एन्कोडेड कमांड पेलोड को ले जा सकते हैं या होस्ट पर रिवर्स शेल लॉन्च कर सकते हैं।

रिवर्स शेल समझौता किए गए सर्वर को खतरे के अभिनेता के साथ कनेक्शन आरंभ करता है, एक ऐसी तकनीक जो अक्सर फ़ायरवॉल प्रतिबंधों को बायपास करने में मदद करती है या सीमित नेटवर्क कनेक्टिविटी के आसपास काम करती है।

जुनिपर के विश्लेषकों द्वारा देखी गई थ्रेट एक्टर्स की कार्रवाइयों में से एक ESXi रिवर्स HTTP प्रॉक्सी कॉन्फ़िगरेशन को बदलना था ताकि प्लांट किए गए वेबसर्वर के साथ रिमोट एक्सेस की अनुमति दी जा सके।

चूंकि इस नए कॉन्फ़िगरेशन को सेट करने के लिए उपयोग की जाने वाली फ़ाइल, “/etc/vmware/rhttpproxy/endpoints.conf,” का भी बैकअप लिया जाता है और रीबूट के बाद पुनर्स्थापित किया जाता है, इसमें कोई भी संशोधन लगातार होता है।

कम करने

यह निर्धारित करने के लिए कि क्या इस बैकडोर ने आपके ESXi सर्वर को प्रभावित किया है, ऊपर उल्लिखित फ़ाइलों के अस्तित्व और “local.sh” फ़ाइल में अतिरिक्त पंक्तियों की जाँच करें।

सभी कॉन्फ़िगरेशन फ़ाइलें जो रीबूट जारी रहती हैं, संदिग्ध परिवर्तनों के लिए जांच की जानी चाहिए और सही सेटिंग्स पर वापस लौटा दी जानी चाहिए।

अंत में, व्यवस्थापकों को आने वाले सभी नेटवर्क कनेक्शनों को विश्वसनीय मेजबानों तक सीमित कर देना चाहिए, और उपलब्ध सुरक्षा अद्यतन जो प्रारंभिक समझौता के लिए उपयोग किए गए शोषण को जल्द से जल्द लागू किया जाना चाहिए।

#नय #पयथन #मलवयर #रमट #एकसस #क #लए #VMware #ESXi #सरवर #क #बकडर #करत #ह

Leave a Comment