Hacker nehmen ESX ins Visier

VMware stellt für seine Server-Produkte eine eigene Programmierschnittstelle zur Verfügung. Mit Hilfe dieses API (Application Programming Interface) hat der britische IT-Sicherheitsexperte John Fitzpatrick ein Tool und Skripte entwickelt, mit denen ein Angreifer die Kontrolle sowohl über den VMware-Server als auch den Bare-Metal-Hypervisor ESX Server erlangen kann. Die Hacker-Gemeinde nimmt sich der Sicherheitsthematik also aus einem ganz anderen Blickwinkel an. Die von dem Experten in Ruby programmierten Skripte basieren ebenso auf dem von VMware angebotenen API wie das von einem seiner Kollegen geschriebene Tool "dradis". Letzteres fasst die von Fitzpatrick geschriebenen Skripte zusammen und macht sie über eine grafische Benutzeroberfläche zugänglich.

Für den Angriff nutzt Fitzpatrick, der seine Skripte vor einigen Wochen live auf der Hacker-Konferenz Defcon demonstrierte, zunächst die von dem API gebotene Funktion, sich remote über das Intranet (Port: 902, authd) am VMware-Server anzumelden. Sein Skript kann alle möglichen Passwörter per Brute-Force-Attacke durchprobieren, bis das richtige gefunden ist. Dem Sicherheitsforscher zufolge sperrt der VMware-Server diesen Angriff nicht automatisch nach einer bestimmten Anzahl von Fehlversuchen. Anschließend wird über eine weitere API-Funktion die Konfigurationsdatei des Servers ausgelesen. Diese gibt Aufschluss beispielsweise über weitere Administrator-Konten, IP- und MAC-Adresse des Servers sowie der virtuellen Switches (vSwitch) und sogar über die Firewall-Regeln der einzelnen, auf dem Server installierten VMs.

In einem nächsten Schritt kopiert Fitzpatrick beliebige Dateien auf die VM und führt diese dort aus - wiederum mit Hilfe einer API-Funktion. In seiner Präsentation wählte er Metasploit, ein Paket aus verschiedensten Angriffstechniken für diverse Produkte. Nach dem Start des Toolkits sucht sich der Angreifer mit dessen Hilfe eine Kopie der Windows-Passwort-Hashes und knackt diese dann mittels eines bekannten Passwortknackers. So macht der Sicherheitsexperte deutlich, warum die Disk Files einer VM - also quasi deren virtuelle Festplatten - dringend vor unerlaubten Zugriffen geschützt werden müssen: Mountet ein Angreifer ein solches Disk File mit einer VMware-eigenen Software, kann er auch sämtliche Passwort-Hashes der VM kopieren und sich später (nach dem Passwort-Knacken) ganz regulär an der VM anmelden. Ähnliche Angriffsmöglichkeiten ergeben sich im Zusammenspiel mit ESX Server. Obwohl ESX mit einem eigenen Web-Interface zur Konfiguration ausgestattet ist, steht auch beim Bare-Metal-Hypervisor der ursprüngliche Login über Port 902 offen.

Die wichtigste Maßnahme gegen einen solchen Angriff ist laut Fitzpatrick die Separation des VMware-Management-Netzes vom übrigen Netz. Das kann entweder mittels Firewall erfolgen, oder über durch eigene Switches physikalisch voneinander getrennte Netze. Zudem sind die Benutzer-Accounts der VMs durch komplexe Passworte abzusichern, damit eine Wörterbuch-basierende Brute-Force-Attacke ins Leere läuft. Schließlich empfiehlt der Security-Spezialist allen VMware-Nutzern die Lektüre der VMware-eigenen Sicherheitsratschläge, die aus seiner Sicht sämtliche relevanten Themen abdecken, um Angreifer auszusperren.