Descubren un nuevo malware de Python utiliza puertas traseras para servidores VMware ESXi

Detectan un nuevo malware programado en Python.

Malware de Python
Malware de Python

Han descubierto un nuevo malware de Python que esta dirigido a los servidores VMware ESXi, el cual permite a los piratas informáticos poder ejecutar comandos de forma remota en los sistemas comprometidos.

Para los que desconocen que son los servidores VMware ESXi, se trata de una plataforma de virtualización que es utilizada por las empresas para administrador numerosos servidores, con la finalidad de organizar mejor los recursos de los CPU y las memorias.

Malware de Python
Malware de Python

Malware de Python dirigido a los servicios VMware ESXi

Vía Juniper Networks, quienes fueron los que detectaron el malware no han podido determinar cómo se comprometió el servidor VMware ESXi, esto debido a la limitación de los registros.

Sin embargo, se cree que el servidor puede haberse visto comprometido mediante las vulnerabilidades CVE-2019-5544 y CVE-2020-3992 en el servicio OpenSLP de ESXi. Cabe mencionar que este nuevo malware de Python es capaz de atacar sistemas operativos como Linux y Unix pero también fue diseñado para atacar sistemas ESXi.

Cómo funciona el nuevo malware de Python

El funcionamiento de este malware procede al agregar líneas de código dentro de «/etc/rc.local.d/local.sh«, el cual es uno de los pocos archivos ESXi que sobrevive y se ejecuta al reinicio del sistema.

Cabe señalar que este archivos en la mayoría de los casos se mantiene vacío, solamente se encuentran comentarios de asesoramiento y una declaración de salida.

Una de esas líneas inicia un script de Python guardado como «/store/packages/vmtools.py«, en un directorio que almacena imágenes de disco de VM, registros y más.

El nombre y la ubicación del script hacen que Juniper Networks crea que los operadores de malware pretenden apuntar específicamente a los servidores VMware ESXi.

Este script desarrollado en Python inicia un servidor web que acepta solicitudes POST protegidas con contraseña de los actores de amenazas remotos.; estas solicitudes pueden llevar una carga útil de comando codificada en base 64 o iniciar un Shell inverso en el host.

El Shell inverso hace que el servidor comprometido inicie la conexión con el actor de amenazas, una técnica que a menudo ayuda a eludir las restricciones del firewall o evita la conectividad de red limitada.

Una de las acciones de los actores de amenazas observadas por los analistas de Juniper fue cambiar la configuración del proxy HTTP inverso de ESXi para permitir el acceso remoto para comunicarse con el servidor web plantado.

Cómo mitigar el problema

Para determinar si esta puerta trasera ha afectado a sus servidores ESXi, verifique la existencia de los archivos mencionados anteriormente y las líneas adicionales en el archivo «local.sh».

Todos los archivos de configuración que persisten en los reinicios deben examinarse en busca de cambios sospechosos y revertirse a la configuración correcta.

Finalmente, los administradores deben restringir todas las conexiones de red entrantes a hosts confiables, y las actualizaciones de seguridad disponibles que abordan las vulnerabilidades utilizadas para el compromiso inicial deben aplicarse lo antes posible.