一、黑客視角下的vCenter

在現(xiàn)實(shí)的攻防場(chǎng)景中，越來(lái)越多的攻擊者開(kāi)始關(guān)注vCenter。因?yàn)関Center涉及資產(chǎn)多，擁有權(quán)限大，攻擊者對(duì)vCenter實(shí)施攻擊，如果攻擊成功，可以讓他們迅速地建立攻擊據(jù)點(diǎn)，為后續(xù)攻擊提供有利條件。

回歸本質(zhì)，攻擊者喜歡攻擊vCenter，都得益于利用vCenter存在的漏洞進(jìn)行攻擊，對(duì)漏洞進(jìn)行利用往往能夠起到事半功倍的效果。

在vCenter中被攻擊者經(jīng)常利用的漏洞及手法有CVE-2021-21972、CVE-2021-21985、CVE-2021-22005、Provider-logo SSRF漏洞、log4j2 JNDI注入、SAML證書(shū)登錄、CVE-2022-22948權(quán)限配置不當(dāng)、CVE-2021-22015、提權(quán)等，以實(shí)現(xiàn)獲取初步權(quán)限或者權(quán)限的提升，為后續(xù)深入利用提供條件。

對(duì)于攻擊者來(lái)說(shuō)，對(duì)vCenter發(fā)起攻擊，具有強(qiáng)烈的目的性：

1.為什么要攻擊vCenter？

vCenter人送外號(hào)小域控，拿下vCenter之后，不單單只是獲取一臺(tái)服務(wù)器的權(quán)限，vCenter中存在的虛擬機(jī)以及ESXI主機(jī)都有可能成為后續(xù)的攻擊目標(biāo)，因此拿下vCenter的價(jià)值不亞于域控的價(jià)值。

2.怎么尋找公網(wǎng)的vCenter？

通過(guò)搜索語(yǔ)法查找公網(wǎng)vCenter服務(wù)器，一般vCenter開(kāi)放的端口為5480。此外，使用工具獲取網(wǎng)頁(yè)title時(shí)，也可以發(fā)現(xiàn)vCenter服務(wù)器。

title="+ ID_VC_Welcome +"

3.獲取到vCenter權(quán)限之后應(yīng)該做什么？

獲取到vCenter一定權(quán)限之后，繼續(xù)進(jìn)行信息收集，對(duì)vCenter中的虛擬機(jī)和ESXI主機(jī)進(jìn)行攻擊，將會(huì)成為主要目標(biāo)。

二、攻擊者如何攻擊vCenter？

攻擊者對(duì)vCenter實(shí)施攻擊的方式多種多樣，以下是一些常見(jiàn)的攻擊方式：

隨著攻擊技術(shù)的發(fā)展，攻擊vCenter的路徑也多種多樣，以下列舉幾條典型的攻擊路徑：

路徑一：

1.攻擊者首先探測(cè)到公網(wǎng)上的vCenter服務(wù)，發(fā)現(xiàn)該vCenter的版本存在CVE-2021-21972漏洞，于是嘗試?yán)毛@得vCenter Server主機(jī)webshell 權(quán)限vphere-ui。

2.利用CVE-2022-22948漏洞，獲取vpxuser用戶的憑證。

3.用vpxuser憑據(jù)通過(guò)ssh連接ESXI服務(wù)器，對(duì)ESXI服務(wù)器進(jìn)行完全控制。

路徑二：

1.攻擊者首先發(fā)現(xiàn)存在漏洞的vCenter服務(wù)，利用漏洞控制vCenter。

2.經(jīng)過(guò)信息收集，得到具有管理員權(quán)限的賬戶。

3.導(dǎo)出vpxuser賬戶的憑據(jù)。

4.利用vpxuser賬戶憑據(jù)ssh連接ESXI，并修改ESXI的root密碼。

路徑三：

1.攻擊者首先繞過(guò)防火墻，獲得企業(yè)web服務(wù)器初始訪問(wèn)權(quán)限。

2.進(jìn)行內(nèi)網(wǎng)信息收集之后，發(fā)現(xiàn)存在vCenter服務(wù)。探測(cè)vCenter的版本，發(fā)現(xiàn)該vCenter的版本存在漏洞，并加以利用。

3.控制vCenter之后，發(fā)現(xiàn)vCenter上部署了AD域的域控虛擬機(jī)，隨后繞過(guò)虛擬機(jī)鎖屏，獲得域控權(quán)限，并控制整個(gè)AD域。

路徑四：

上圖中，正常情況下是只有白名單內(nèi)的ip才能訪問(wèn)vCenter，然而即使是這樣，也不能100%地保證攻擊者攻擊不到vCenter。以下兩個(gè)場(chǎng)景攻擊者可繞過(guò)白名單防御，攻擊vCenter：

場(chǎng)景1：防火墻存在漏洞或者防火墻的憑據(jù)泄漏，那么攻擊者可以控制防火墻修改白名單策略，讓他也能訪問(wèn)vCenter。

場(chǎng)景2：白名單內(nèi)的管理員被釣魚(yú)攻擊，電腦被攻擊者控制，這時(shí)攻擊者也能攻擊vCenter。

1.繞過(guò)防火墻ip白名單之后，利用CVE漏洞對(duì)vCenter實(shí)施攻擊。

2.控制vCenter之后，繞過(guò)虛擬機(jī)鎖屏，對(duì)ESXI中的主機(jī)進(jìn)行控制。

三、vCenter遭受攻擊，給客戶造成的損失

如果客戶的vCenter被攻擊，可能會(huì)造成以下?lián)p失：

1）數(shù)據(jù)泄露

攻擊者可能會(huì)竊取vCenter中存儲(chǔ)的敏感信息，如登錄憑證、虛擬機(jī)、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)配置等信息，從而泄露客戶的敏感數(shù)據(jù)。這些數(shù)據(jù)可能包括客戶的商業(yè)機(jī)密、財(cái)務(wù)記錄、客戶數(shù)據(jù)等。

2）虛擬化環(huán)境失控

攻擊者可能會(huì)獲取vCenter的管理員權(quán)限，從而掌控整個(gè)虛擬化環(huán)境。攻擊者可以通過(guò)修改虛擬機(jī)配置、存儲(chǔ)配置、網(wǎng)絡(luò)配置等信息來(lái)破壞客戶的業(yè)務(wù)運(yùn)行，從而導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷。

3）惡意軟件感染

攻擊者可能會(huì)在vCenter服務(wù)器上安裝惡意軟件，如勒索軟件、挖礦軟件等，從而破壞客戶的業(yè)務(wù)運(yùn)行并對(duì)客戶的業(yè)務(wù)數(shù)據(jù)進(jìn)行加密、竊取或篡改。

4）業(yè)務(wù)停滯

如果vCenter服務(wù)器無(wú)法正常運(yùn)行，客戶可能會(huì)面臨業(yè)務(wù)停滯的風(fēng)險(xiǎn)。例如，如果vCenter服務(wù)器上運(yùn)行的虛擬機(jī)是關(guān)鍵業(yè)務(wù)應(yīng)用程序的一部分，那么這些應(yīng)用程序可能無(wú)法正常運(yùn)行，導(dǎo)致業(yè)務(wù)停滯。

四、vCenter遭受攻擊，如何防御？

vCenter安全加固最佳實(shí)踐

對(duì)于vCenter的防護(hù)，我們可以參考VMware官方的最佳實(shí)踐，其中提到了對(duì)于vSphere的各個(gè)組件，包括vCenter、ESXi等各個(gè)方面的防護(hù)措施，我們對(duì)官方的最佳實(shí)踐做了深入分析及落地，細(xì)節(jié)可參考《ITDR之vSphere白皮書(shū)》中vSphere加固一章，其中詳細(xì)描述了加固策略、權(quán)限管理、密碼策略管理等方面的具體加固措施。

中安網(wǎng)星ITDR（身份威脅檢測(cè)與響應(yīng)）平臺(tái)

ITDR（身份威脅檢測(cè)與響應(yīng)）平臺(tái)是中安網(wǎng)星推出的針對(duì)身份威脅檢測(cè)與響應(yīng)高級(jí)威脅分析平臺(tái)。主要圍繞Identity及Infrastructure為核心進(jìn)行防護(hù)，涵蓋主流身份基礎(chǔ)設(shè)施及集權(quán)設(shè)施，圍繞從攻擊的事前加固、事中監(jiān)測(cè)，事后阻斷出發(fā)，產(chǎn)品的設(shè)計(jì)思路覆蓋攻擊者活動(dòng)的全生命周期。

ITDR平臺(tái)同樣具備針對(duì)主流集權(quán)設(shè)施vCenter平臺(tái)全流程防御方案，場(chǎng)景架構(gòu)如下圖所示：

ITDR平臺(tái)能力

可以針對(duì)vCenter相關(guān)的CVE漏洞、基線等風(fēng)險(xiǎn)進(jìn)行主動(dòng)地探測(cè)，發(fā)現(xiàn)vCenter是否存在歷史漏洞及錯(cuò)誤的風(fēng)險(xiǎn)配置項(xiàng)。

針對(duì)vCenter相關(guān)CVE漏洞的利用的實(shí)時(shí)監(jiān)測(cè)，目前已經(jīng)覆蓋對(duì)vCenter的所有歷史漏洞進(jìn)行實(shí)時(shí)的攻擊檢測(cè)，確保在針對(duì)vCenter的任何漏洞攻擊發(fā)生時(shí)可以看到攻擊行為。

針對(duì)vCenter功能濫用的實(shí)時(shí)監(jiān)測(cè)，如創(chuàng)建角色、創(chuàng)建用戶、權(quán)限添加、虛擬機(jī)克隆、鎖屏繞過(guò)等，確保攻擊者拿到vCenter權(quán)限后利用vCenter自身功能進(jìn)行后滲透利用時(shí)，可以實(shí)時(shí)監(jiān)控其攻擊行為。

通過(guò)設(shè)置vCenter蜜罐賬戶，對(duì)攻擊者進(jìn)行主動(dòng)的誘捕，更主動(dòng)地發(fā)現(xiàn)可疑的攻擊行為。