Hyperjacking: attacco contro le macchine virtuali

Hyperjacking: attacco contro le macchine virtuali

Ignoti cybercriminali sono riusciti ad installare due backdoor negli hypervisor VMware ESXi e prendere il controllo delle macchine virtuali.
Ignoti cybercriminali sono riusciti ad installare due backdoor negli hypervisor VMware ESXi e prendere il controllo delle macchine virtuali.

I ricercatori di Mandiant hanno scoperto un nuovo tipo di malware che permette di effettuare attacchi “hyperjacking” contro gli hypervisor VMware ESXi. Ignoti cybercriminali cinesi hanno trovato il modo di installare due backdoor che consentono di prendere il controllo delle macchine virtuali. Si tratta di un grave pericolo per la sicurezza aziendale, in quanto gli attacchi sono difficili da rilevare.

Hyperjacking: rischio elevato per le macchine virtuali

Mandiant sottolinea che per l’accesso a VMware ESXi non è stata sfruttata nessuna vulnerabilità e che occorrono i privilegi di amministratore. In qualche modo i cybercriminali sono riusciti ad installare le backdoor VirtualPita e VirtualPie, utilizzando versioni infette dei vSphere Installation Bundles, un insieme di file che permettono agli amministratori di gestire le macchine virtuali attraverso varie operazioni.

VirtualPita è una backdoor a 64 bit che utilizza spesso nomi e porte dei servizi VMware per evitare la rilevazione. Può eseguire comandi arbitrari, caricare e scaricare file, avviare e fermare il logging. VirtualPie è invece una backdoor scritta in Python che può trasferire file e installare reverse shell. Nelle macchine virtuali Windows gestite da VMware ESXi è stato trovato anche il malware VirtualGate.

Tutti i dettagli tecnici sono disponibili sul sito di Mandiant. VMware ha pubblicato una guida per migliorare la sicurezza dell’hypervisor. Un attacco hyperjacking potrebbe avere conseguenze disastrose per le aziende che utilizzano migliaia di macchine virtuali, in quanto l’accesso a VMware ESXi consente di prendere il controllo totale dei sistemi.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Mandiant
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 3 ott 2022
Link copiato negli appunti