Angriff auf VMware mit Metasploit

Die jüngst veröffentlichte Metasploit-Erweiterung Vasto hat es auf VMware abgesehen: Weder die virtuellen Maschinen selbst noch die Kontrollsoftware vCenter verschont Claudio Crisciones Modulsammlung.

Zunächst kann man etwa mit Hilfe von "vmware_version" feststellen, ob eine virtuelle Umgebung vorhanden ist. Das Modul nutzt Standardfunktionen von Metasploit, wie zum Beispiel das Scannen von IP-Bereichen, um Charakteristika von VMs auszumachen und bei Bedarf die Version der VM-Software zu ermitteln.

Das Modul "vmware_vilurker" schiebt dem Virtual Machine Manager (VMM) ein präpariertes, aus einem Trojaner bestehendes Update unter. Der Angriff setzt eine vorangegangene Man-in-the-Middle-Attacke voraus und der Admin muss eine Zertifikatsfehlermeldung akzeptieren, damit der Trojaner installiert wird.

Mit "vmware_autopwn" kann man eine Sitzung des Administrators an der vCenter-Konsole weitgehend automatisch übernehmen. VMware bietet seit 19. Juli ein Update, das eine von diesem Angriff missbrauchte Lücke schließt. Laut Criscione wird der Patch aber nicht automatisch verteilt, so dass sehr wahrscheinlich noch etliche Systeme angreifbar sind.

Nachdem VMware ab Werk keine Sperre bei fehlerhaften Login-Versuchen der Standard-Benutzerkonten wie Root oder Admin durchsetzt, kann das Vasto-Modul "vmware_login_ bruteforce" weitgehend unbehelligt versuchen, die Passwörter mittels roher Gewalt herauszufinden.

Unterdessen geht Crisciones die Arbeit nicht aus: Erst vor wenigen Tagen entdeckte er, dass VMware die Administrationsfunktion für Tomcat in vCenter 4.1 wieder standardmäßig aktiviert hat. Das Default-Passwort für den Nutzer VMwareAdmin scheint stets aus einem Kleinbuchstaben, vier Großbuchstaben und einer Ziffer zu bestehen. Criscione hat angekündigt, sich das Phänomen genauer anzuschauen und bei Aussicht auf Erfolg ein weiteres Modul bereit zu stellen. (Uli Ries) / (rei)