Khoảng 1 tháng gần đây trên các diễn đàn công nghệ thế giới và gần đây là thông tin lan truyền về việc Virus Ransomware trước đây xuất hiện trên các máy chủ và máy tính Windows, giờ đã xuất hiện trên VMWare ESXi host và vCenter Server, liệu có phải là sự thật?
Một số diễn đàn và cộng đồng công nghệ cũng có tin về việc phát hiện Ransomware đầu tiên trên ESXi, tấn công và mã hoá toàn bộ DataStore, VMs disk trên môi trường VMWare vSphere. Trên diễn đàn VMWare cập nhật lần mới nhất cho rủi ro Wannacry/Petya ransomware từ tháng 8 năm 2017 nói về hỗ trợ phòng chóng rủi ro virus mã hoá từ môi trường đối tác thứ 3, xác thực qua Windows Active directory.
Như các bạn đã biết, chủng loại virus mã hoá dữ liệu Ransomware trước đây gồm các chủng loại Spora, WannaCrypt (còn gọi là WannaCry), và Petya chủ yếu khai thác lỗ hỏng bảo mật CVE-2017-0144 và CVE-2017-0145 trên các giao thức network shares, Server Message Block (SMB), và Remote desktop (RDP) của Microsoft. Để ngăn ngừa cho các rủi ro này thì Microsoft đã cập nhật và bổ sung các bản vá lỗi, khuyến nghị tắt hoặc gỡ bỏ các dịch vụ chia sẻ version cũ kém an toàn (SMB v1, v2 …), bật chế độ tường lửa Windows, cài phần mềm diệt virus có bản quyền cho server và endpoint, thường xuyên theo dõi và cập nhật các nguồn nhận diện (signature) và nguồn lây nhiễm mã độc cho các hệ thống tường lửa công ty …
Tuy nhiên, đối với ESXi VMWare host base trên nền Linux liệu kẻ tấn công có thể lây nhiễm vào host ESXi qua môi trường mạng LAN của bạn không? Thật sự, đây không phải là một dạng khai thác lỗ hỏng giao thức bảo mật dạng zero-day attack trên ESXi hoặc vCenter Server.
Nhưng đây là một trong những lời cảnh tỉnh cho các quản trị viên vSphere về việc cần trang bị và kiểm tra thật kỹ các điều kiện bảo vệ hệ thống và môi trường an toàn cho các hệ thống vSphere, VMWare ESXi. Đặc biệt ở việc quản lý tài khoản, phân quyền hệ thống, cơ chế quản lý thông tin đăng nhập có ảnh hưởng tới việc mất quyền môi trường quản lý VMWare vSphere. Bạn nên kiểm tra và rà soát lại 02 điều:
- Tài khoản vSphere ở cấp độ cao nhất
- Kết nối mạng cho môi trường quản lý vSphere của bạn.
Bạn hãy xem cách thức mà kẻ tấn công đi vào hệ thống VMWare vSphere và mã hoá dữ liệu VM trên datastore của bạn thế nào nhé?
Đầu tiên, kẻ tấn công sau khi xâm nhập được một máy tính Windows trong mạng LAN của bạn, chúng sẽ cố gắng dò quét (broadcast) các lỗ hỏng bảo mật bên trong hệ thống mạng LAN để tìm cách chiếm quyền các hệ thống tài khoản hoặc thiết bị khác có quyền cao hơn (high-level account).
Trường hợp máy tính của bạn đang sử dụng có cùng thông tin đăng nhập vào vCenter, hoặc có quyền kết nối tới máy chủ VMWare ESXi host để thu thập thông tin về kho tài nguyên trong mạng LAN và các hệ thống của bạn đang có.
Với một số hệ thống VMWare vSphere (ESX) có thể được cho phép quyền quản trị cấp cao (high-level admin) được xác thực từ máy chủ Windows Active directory, khi các máy chủ hoặc kho tài nguyên chia sẻ trên các máy chủ Windows bị chiếm quyền qua môi trường Active Directory thì cũng đồng nghĩa, máy chủ VMWare ESXi trong hệ thống của bạn cũng sẽ bị chiếm quyền quản trị.
Từ đây, kẻ tấn công chỉ cần kết nối vào VMWare vSphere và bật SSH từ xa để có thể cho phép thực thi các kết nối và gửi các mã lệnh qua môi trường network đến các VMWare Host, sau đó sẽ quay trở lại sau.
Sau đó, kẻ tấn công chỉ cần viết một đoạn mã Java Script hoặc Python code đơn giản có thể có quyền truy cập đến các kho tài nguyên trong máy chủ và hệ thống của bạn rồi tiến hành thực hiện mã hoá, đổi tên tệp dữ liệu trong hệ thống một cách tự động.
Đây là một trong những kịch bản phổ biến, vì chỉ cần chiếm được quyền điều khiển quản trị cấp cao trong hệ thống là có thể chiếm được quyền điều khiển và truy cập đến toàn bộ các kho tài nguyên và cơ sở hạ tầng của bạn, bao gồm cả VMWare vSphere (ESXi).
Bảo vệ môi trường vSphere trước Ransoware như thế nào?
- Đầu tiên, bạn không nên hoặc hạn chế sử dụng quyền quản trị viên cao cấp nhất từ môi trường Windows Active directory để quản trị các hệ thống vSphere.
Nếu hệ thống của bạn đang có kết nối xác thực quản trị đến Active Directory thì bạn nên hạn chế quyền hoặc nên gỡ bỏ khỏi vSphere system.
- Thực hiện phân đoạn và phân tách các vùng mạng LAN nội bộ (VLAN isolation & Segment), đặc biệt là các vùng mạng người dùng (User, Khách … ) trước các vùng mạng LAN cho Server, lưu trữ (Storage), Backup …
Việc phân đoạn mạng LAN giúp bạn giảm thiểu rủi ro đến từ các máy tính người dùng thiếu hoặc hạn chế kinh nghiệm thường xuyên bị lây nhiễm và thiếu kiến thức về an toàn hệ thống thông tin. Kể cả máy tính của bạn đang sử dụng cũng nên sử dụng tài khoản thường ngày ở cấp độ giới hạn, và hạn chế các tiện ích như ghi nhớ mật khẩu quản trị, lưu và tự động đăng nhập …. - Bảo vệ các bản sao lưu của bạn khỏi các vùng mạng có thể truy cập bởi người dùng, quản trị … hoặc thực hiện các tác vụ Backup Offline data định kỳ sang các hình thức Tape Library, Data Archiving (1 chiều) , hay đơn giản bằng HDD Box.
Backup dữ liệu là một việc cần thiết, và cần thực hiện định kỳ có thể thiết lập đơn giản thông qua phần mềm Veeam Backup miễn phí, hoặc có bản quyền (nếu hệ thống của bạn backup nhiều hơn 10 VMs tanents). Phương án backup dữ liệu an toàn tối đa và sau cùng nhất vẫn là một số các giải pháp Backup Offline bằng các phương thức Backup to Tape (Băng từ) hoặc Cloud Archive (1 chiều) đảm bảo lưu giữ nhiều phiên bản nhất có thể, và không thể xâm hại hay sửa đổi dữ liệu bằng các phương thức tiếp cận Online. - Cài đặt các chương trình Internet Security của các thương hiệu và uy tín cho máy tính chủ, máy trạm. Các chương trình diệt virus của các thương hiệu uy tín và nổi tiếng như TrendMicro, Synmantec Endpoint Protection (Server & Clients), Bitdefender, Trend Micro, MCafee hoặc Norton … thường xuyên và kịp thời có các cập nhật mã độc mới nhất và đa dạng hệ thống các đối tác liên kết toàn cầu cung cấp và cập nhật thường xuyên các dấu hiệu rủi ro.
- Trang bị hệ thống tường lửa hỗ trợ khả năng UTM license được duy trì hàng năm để quét sâu và nhận diện loại bỏ mã độc ngăn ngừa các đoạn script hay mã độc (malware) có thể gửi đến máy tính người dùng khi truy cập môi trường internet.
- Kiểm tra và fix lỗ hỏng bảo mật cho các máy chủ và máy tính Windows.
Bạn cũng nên thường xuyên kiểm tra và fix các lỗ hỏng khai thác bảo mật CVE-2017-0144 và CVE-2017-0145, tắt giao thức chia sẻ network SMB v1, nâng cấp Windows hệ thống và người dùng và cập nhật thường xuyên lên phiên bản Windows 10 mới nhất để giảm thiểu tối đa các lỗ hỏng bảo mật tạo điều kiện cho các hacker khai thác.
Vui lòng liên hệ (contact@ccvi.vn) để chúng tôi có thể tư vấn và hỗ trợ bạn thêm.
— o —