VMware VMlari hujum ostida: hakerlar nol-kunlik zaiflikni oylar davomida eksploit qilgani aytilmoqda
1
22
1
Broadcom VMware dasturiga ta’sir qiluvchi jiddiy zero-day (yangi aniqlangan) zaifliklar haqida ogohlantirdi. Ushbu dastur keng qo‘llaniladi va virtual mashinalarni boshqarish uchun ishlatiladi. Xitoy bilan bog‘liq hakerlar ushbu nuqsonlardan oylar yoki hatto yillar davomida yashirincha foydalanib, administrator (ma'mur) darajasiga ko‘tarilish imkoniyatini qo‘lga kiritgan bo‘lishi mumkin.
Texnologiya giganti VMware Aria Operations, VMware Tools va tegishli mahsulotlar uchun yamoqlar (patch) chiqardi. Ular hujumchilarga imtiyozlarni oshirish yoki maxfiy ma’lumotlarni oshkor qilish imkonini beruvchi uchta jiddiy nuqsonni bartaraf etadi.
Ma'murlar ushbu dasturdan o‘z virtual muhitlarini kuzatish va boshqarish uchun foydalanadi.
“Administrator bo‘lmagan huquqlarga ega zararli mahalliy foydalanuvchi, VMware Tools o‘rnatilgan va Aria Operations tomonidan SDMP yoqilgan holda boshqariladigan VMga kirish imkoniga ega bo‘lsa, ushbu zaiflikdan foydalanib o‘sha VMda root darajasigacha huquqini oshirishi mumkin,” — deyiladi Broadcom maslahatida.
Broadcom ushbu nuqsonlarning og‘irlik darajasini “muhim xavflilik darajasi” sifatida baholadi va eng yuqori asosiy ballni 10 dan 7,8 deb belgiladi.
Kompaniyaga ushbu nuqsonlarni aniqlab, xabar qilgan kiberxavfsizlik tadqiqotchilari, tahdid guruhlari ulardan oylar yoki hatto yillar davomida foydalanib kelgan bo‘lishi mumkinligini ko‘rsatuvchi belgilarni ham topdilar.
NVISO — kiberxavfsizlik firmasi, ushbu zaifliklarni Xitoy bilan bog‘liq demoqda, uni davlat tomonidan qo‘llab-quvvatlanadigan UNC5174 nomli hakerlar guruhi bilan bog‘liq hodisalarga javob berish jarayonida aniqlaganini ma’lum qildi.
“NVISO 2024-yil oktyabr o‘rtalaridan boshlab tabiiy muhitda (wild) nol-kun (zero-day) eksploitini aniqladi,” — deyiladi hisobotda.
“NVISO ishonch bilan aytadiki, UNC5174 mahalliy imtiyozlarni oshirish (privilege escalation) hujumini amalga oshirgan.”
Biroq, nuqsonlarning oddiyligi sababli, tadqiqotchilar ushbu eksploit aynan hakerlarning ishi bo‘lganini aniqlay olishmaydi — nol-kun (zero-day) zaifligidan foydalanish “faqat tasodifiy bo‘lishi” ham mumkin.
Tahdid guruhi ko‘pincha VMware tizim ikkilik fayllariga taqlid qiladi, va bir nechta zararli dasturlar “tasodifan yillar davomida kutilmagan imtiyoz oshirishlardan foyda ko‘rib kelgan bo‘lishi mumkin,” deya tushuntiradi Maxime Thiebaut, NVISO CSIRT tarkibidagi hodisalarga javob va tahdidlarni tadqiq qilish bo‘yicha mutaxassisi.
Har holda, vaziyatni isbotlovchi (PoC) kod allaqachon ommaga ochiq va tadqiqotchilar hujumchi VM ustidan toʻliq nazoratni qoʻlga kiritishi mumkinligini ko‘rsatadigan ishlaydigan misol taqdim etdilar.
Broadcom yamoqlarni (patchlarni) qo‘llashni qat’iy tavsiya qiladi, chunki boshqa muqobil chora yo‘q.
Qanday hujum bo‘lishi mumkin?
Hakerlar bu zaifliklardan foydalanish uchun dastlab imtiyozsiz foydalanuvchi sifatida biror darajadagi boshlang‘ich kirishni qo‘lga kiritishlari kerak. VMware virtual mashinalari ma'murlari ko‘pincha ishlash ko‘rsatkichlari, avtomatlashtirilgan tuzatishlar, sig‘im rejalashtirish va qo‘shimcha funksiyalar uchun Aria Suite va Tools komponentlariga tayanadi.
Bu vositalar xizmatni aniqlash (service discovery) funksiyasidan foydalanib, VMni muntazam (har 5 daqiqada) ko'zdan kechirib, ishlayotgan dasturlar va ularning talqinlarini aniqlaydi.
Muhaddidlar imtiyozsiz hujumchilar zararli dastur yaratib, uni VM ichida ommaviy joyga — masalan, /tmp jildiga — joylashtirib, ishga tushirishi mumkinligini aniqladi.
Keyingi safar skaner ishlaganda u bu soxta dasturni aniqlab, uning talqinini tekshirish uchun uni ma’muriy (administrator) huquqlarda ishga tushiradi. Biroq talqin ma’lumotlari o‘rniga, zararli dastur allaqachon root huquqiga ega bo‘ladi va istagan ishini bajarishi mumkin: backdoorlar o‘rnatish, ma’lumotlarni o‘g‘irlash va oxir-oqibat tizim ustidan to‘liq nazoratni qo‘lga kiritish. VMware o‘z namunalariga mos kelgan har qanday narsani, jumladan imtiyozsiz foydalanuvchi nazoratidagi yo‘llarni ham haqiqiy dastur deb ishonadi. Shunday ekan, hujumchidan zararli bajariluvchini VMware tomonidan tan olingan haqiqiy xizmat nomi bilan atash kifoya qiladi.
“Qanchalik sodda eshitilmasin — uni nomlaysiz, VMware uni "ishlatib" beradi,” — deydi Thiebaut.
Masalan, Xitoy bilan bog‘liq hakerlar ko‘pincha bajariluvchi fayllarni /tmp/httpd kabi ko‘rinishda yashirishadi (httpd — veb-server uchun dastur nomi). VMware xizmatni aniqlash ularni topib, hatto tasodifan ham, oshiqcha huquqlarda ishga tushiradi.
Muhaddid guruhlari ehtimol bu zaiflik haqida allaqachon xabardor bo‘lganini ogohlantirar.
NVISO 2025-yil may oyida sud-fakultativ izlarni (forensic artifacts) aniqlagan va masalani Broadcomga javobgar tarzda xabar qilgan.
Kamroq jiddiy ma’lumotni oshkor qilish zaifligi VMware Aria Operationsda ma'mur bo‘lmagan huquqlarga ega zararli foydalanuvchiga boshqa foydalanuvchilarning credential (kirish ma’lumotlarini) qo‘lga kiritish imkonini beradi.
Uchinchi xato — VMware Tools for Windowsga taalluqli bo‘lib, past darajadagi huquqlarga ega hujumchilarga vCenter (VMware boshqaruv dasturi) yoki ESXi (virtual mashinalarni joylashtiruvchi dastur) orqali boshlang‘ich kirishni qo‘lga kiritgandan so‘ng boshqa mehmon (guest) VMlarga kirish imkonini beradi.
Muvaffaqiyatli eskploit uchun nishon qilingan VMlar va vCenter yoki ESXi uchun kirish ma’lumotlarini bilish talab qilinadi.