发现了一个针对 VMware ESXi 服务器的新后门

• Juniper Networks 研究人员发现了一个未记录的 Python 后门，其目标是 VMware ESXi 服务器。
• 研究人员注意到一些迹象表明这种攻击是专门针对 ESXi 设计的。
• 研究人员表示，植入的后门以其简单性、持久性和功能而著称。

瞻博网络研究人员宣布他们发现了一个未记录的 Python 后门，允许攻击者远程执行命令。最常见的是，攻击者利用 ESXi 的 OpenSLP 服务中的两个漏洞（CVE-2019-5544和CVE-2020-3992）来攻击未打补丁的 ESXi 服务器。由于受感染设备上的日志保留有限，因此很难确定是哪个漏洞使攻击者能够访问服务器。

Python后门

研究人员表示，他们发现了多个指标，表明该攻击是专门针对 ESXi 服务器设计的。选择文件的名称和位置是为了不引起对虚拟化主机的怀疑。它以VMware版权开头，与公开可用的示例一致，并取自现有的 Python 文件。

#!/bin/python

"""

Copyright 2011 - 2014 VMware, Inc. All rights reserved.

This module starts debug tools

"""

from http.server import BaseHTTPRequestHandler, HTTPServer

该脚本启动一个 Web 服务器，该服务器能够接受受密码保护的 POST 请求。它可以通过两种方式使用：

• 它可以运行任意远程命令并将结果显示为网页。
• 它可以向攻击者选择的主机和端口启动反向 shell。

该服务器绑定到本地 IP 地址 127.0.0.1 上的端口 8008，并接受 5 个误导性命名参数：

• server_namespace：保护后门免受意外使用的密码
• server_instance：“本地”（直接运行命令）或“远程”（反向 shell）
• operation_id：要执行的命令（仅限“本地”）
• envelope 和 path_set：分别用于反向 shell（“仅远程”）的主机和端口

减轻：

• 尽快应用所有供应商补丁。
• 将传入的网络连接限制为受信任的主机。
• 检查上面详述的四个文件的内容和/或是否存在。默认情况下，local.sh 应仅包含注释和退出语句。
• 检查所有修改过的持久性系统文件是否有意外更改。