集权设施攻防兵法:实战攻防之vCenter篇

渗透技巧 12个月前 admin
356 0 0

集权设施攻防兵法:实战攻防之vCenter篇

Attack

黑客视角下的vCenter


在现实的攻防场景中,越来越多的攻击者开始关注vCenter。因为vCenter涉及资产多,拥有权限大,攻击者对vCenter实施攻击,如果攻击成功,可以让他们迅速地建立攻击据点,为后续攻击提供有利条件。


回归本质,攻击者喜欢攻击vCenter,都得益于利用vCenter存在的漏洞进行攻击,对漏洞进行利用往往能够起到事半功倍的效果。


在vCenter中被攻击者经常利用的漏洞及手法有CVE-2021-21972、CVE-2021-21985、CVE-2021-22005、Provider-logo SSRF漏洞、log4j2 JNDI注入、SAML证书登录、CVE-2022-22948权限配置不当、CVE-2021-22015、提权等,以实现获取初步权限或者权限的提升,为后续深入利用提供条件。


对于攻击者来说,对vCenter发起攻击,具有强烈的目的性:



集权设施攻防兵法:实战攻防之vCenter篇

为什么要攻击vCenter?


vCenter人送外号小域控,拿下vCenter之后,不单单只是获取一台服务器的权限,vCenter中存在的虚拟机以及ESXI主机都有可能成为后续的攻击目标,因此拿下vCenter的价值不亚于域控的价值。

怎么寻找公网的vCenter?


通过搜索语法查找公网vCenter服务器,一般vCenter开放的端口为5480。此外,使用工具获取网页title时,也可以发现vCenter服务器。

title="+ ID_VC_Welcome +"

获取到vCenter权限之后应该做什么?


获取到vCenter一定权限之后,继续进行信息收集,对vCenter中的虚拟机和ESXI主机进行攻击,将会成为主要目标。



Attack

攻击者如何攻击vCenter?


攻击者对vCenter实施攻击的方式多种多样,以下是一些常见的攻击方式:

集权设施攻防兵法:实战攻防之vCenter篇

随着攻击技术的发展,攻击vCenter的路径也多种多样,以下列举几条典型的攻击路径:


路径一

集权设施攻防兵法:实战攻防之vCenter篇

集权设施攻防兵法:实战攻防之vCenter篇

1.攻击者首先探测到公网上的vCenter服务,发现该vCenter的版本存在CVE-2021-21972漏洞,于是尝试利用获得vCenter Server主机webshell 权限vphere-ui。


2.利用CVE-2022-22948漏洞,获取vpxuser用户的凭证。


3.用vpxuser凭据通过ssh连接ESXI服务器,对ESXI服务器进行完全控制。


路径二

集权设施攻防兵法:实战攻防之vCenter篇

集权设施攻防兵法:实战攻防之vCenter篇

1.攻击者首先发现存在漏洞的vCenter服务,利用漏洞控制vCenter。


2.经过信息收集,得到具有管理员权限的账户。


3.导出vpxuser账户的凭据。


4.利用vpxuser账户凭据ssh连接ESXI,并修改ESXI的root密码。


路径三

集权设施攻防兵法:实战攻防之vCenter篇

集权设施攻防兵法:实战攻防之vCenter篇

1.攻击者首先绕过防火墙,获得企业web服务器初始访问权限。


2.进行内网信息收集之后,发现存在vCenter服务。探测vCenter的版本,发现该vCenter的版本存在漏洞,并加以利用。


3.控制vCenter之后,发现vCenter上部署了AD域的域控虚拟机,随后绕过虚拟机锁屏,获得域控权限,并控制整个AD域。


路径四

集权设施攻防兵法:实战攻防之vCenter篇

集权设施攻防兵法:实战攻防之vCenter篇


上图中,正常情况下是只有白名单内的ip才能访问vCenter,然而即使是这样,也不能100%地保证攻击者攻击不到vCenter。以下两个场景攻击者可绕过白名单防御,攻击vCenter:


场景1:防火墙存在漏洞或者防火墙的凭据泄漏,那么攻击者可以控制防火墙修改白名单策略,让他也能访问vCenter。 


场景2:白名单内的管理员被钓鱼攻击,电脑被攻击者控制,这时攻击者也能攻击vCenter。



1.绕过防火墙ip白名单之后,利用CVE漏洞对vCenter实施攻击。


2.控制vCenter之后,绕过虚拟机锁屏,对ESXI中的主机进行控制。



Attack

vCenter遭受攻击,给客户造成的损失


如果客户的vCenter被攻击,可能会造成以下损失:


集权设施攻防兵法:实战攻防之vCenter篇

数据泄露


攻击者可能会窃取vCenter中存储的敏感信息,如登录凭证、虚拟机、存储设备、网络配置等信息,从而泄露客户的敏感数据。这些数据可能包括客户的商业机密、财务记录、客户数据等。


虚拟化环境失控


攻击者可能会获取vCenter的管理员权限,从而掌控整个虚拟化环境。攻击者可以通过修改虚拟机配置、存储配置、网络配置等信息来破坏客户的业务运行,从而导致严重的业务中断。


恶意软件感染


攻击者可能会在vCenter服务器上安装恶意软件,如勒索软件、挖矿软件等,从而破坏客户的业务运行并对客户的业务数据进行加密、窃取或篡改。


业务停滞


如果vCenter服务器无法正常运行,客户可能会面临业务停滞的风险。例如,如果vCenter服务器上运行的虚拟机是关键业务应用程序的一部分,那么这些应用程序可能无法正常运行,导致业务停滞。


Attack

vCenter遭受攻击,如何防御?


vCenter安全加固最佳实践


对于vCenter的防护,我们可以参考VMware官方的最佳实践,其中提到了对于vSphere的各个组件,包括vCenter、ESXi等各个方面的防护措施,我们对官方的最佳实践做了深入分析及落地,细节可参考《ITDR之vSphere白皮书》中vSphere加固一章,其中详细描述了加固策略、权限管理、密码策略管理等方面的具体加固措施。


集权设施攻防兵法:实战攻防之vCenter篇


中安网星ITDR(身份威胁检测与响应)平台


ITDR(身份威胁检测与响应)平台是中安网星推出的针对身份威胁检测与响应高级威胁分析平台。主要围绕Identity及Infrastructure为核心进行防护,涵盖主流身份基础设施及集权设施,围绕从攻击的事前加固、事中监测,事后阻断出发,产品的设计思路覆盖攻击者活动的全生命周期。


ITDR平台同样具备针对主流集权设施vCenter平台全流程防御方案,场景架构如下图所示:


集权设施攻防兵法:实战攻防之vCenter篇



ITDR平台能力

可以针对vCenter相关的CVE漏洞、基线等风险进行主动地探测,发现vCenter是否存在历史漏洞及错误的风险配置项。

针对vCenter相关CVE漏洞的利用的实时监测目前已经覆盖对vCenter的所有历史漏洞进行实时的攻击检测,确保在针对vCenter的任何漏洞攻击发生时可以看到攻击行为。

针对vCenter功能滥用的实时监测如创建角色、创建用户、权限添加、虚拟机克隆、锁屏绕过等,确保攻击者拿到vCenter权限后利用vCenter自身功能进行后渗透利用时,可以实时监控其攻击行为。

通过设置vCenter蜜罐账户,对攻击者进行主动的诱捕,更主动地发现可疑的攻击行为。



集权设施攻防兵法:实战攻防之vCenter篇
关注公众号,回复关键词“0510”
       即可获取中安网星《ITDR之vSphere白皮书》




集权设施攻防兵法:实战攻防之vCenter篇


集权设施攻防兵法:实战攻防之vCenter篇


集权设施攻防兵法:实战攻防之vCenter篇

原文始发于微信公众号(中安网星):集权设施攻防兵法:实战攻防之vCenter篇

版权声明:admin 发表于 2023年5月10日 下午5:31。
转载请注明:集权设施攻防兵法:实战攻防之vCenter篇 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...