Ciberdelincuentes chinos utilizaron silenciosamente la falla de día cero de VMware durante 2 años

Un grupo de ciberespionaje avanzado de China-nexus anteriormente vinculado a la explotación de fallas de seguridad en dispositivos VMware y Fortinet ha sido vinculado al abuso de una vulnerabilidad crítica en VMware vCenter Server como día cero desde finales de 2021.

«UNC3886 tiene un historial de utilización de vulnerabilidades de día cero para completar su misión sin ser detectado, y este último ejemplo demuestra aún más sus capacidades», dijo Mandiant, propiedad de Google, en un informe del viernes.

La vulnerabilidad en cuestión es CVE-2023-34048 (puntuación CVSS: 9,8), una escritura fuera de límites que podría ser utilizada por un actor malicioso con acceso de red a vCenter Server. Fue solucionado por la empresa propiedad de Broadcom el 24 de octubre de 2023.

El proveedor de servicios de virtualización, a principios de esta semana, actualizó su aviso para reconocer que «la explotación de CVE-2023-34048 se ha producido en la naturaleza».

UNC3886 salió a la luz por primera vez en septiembre de 2022, cuando se descubrió que aprovechaba fallas de seguridad previamente desconocidas en VMware para implementar puertas traseras en sistemas Windows y Linux, implementando familias de malware como VIRTUALPITA y VIRTUALPIE.

Los últimos hallazgos de Mandiant muestran que el día cero utilizado por el actor-estado-nación dirigido a VMware no era otro que CVE-2023-34048, lo que le permite obtener acceso privilegiado al sistema vCenter y enumerar todos los hosts ESXi y sus respectivos invitados. máquinas virtuales conectadas al sistema.

La siguiente fase del ataque implica recuperar las credenciales de texto sin cifrar «vpxuser» para los hosts y conectarse a ellos para instalar el malware VIRTUALPITA y VIRTUALPIE, permitiendo así al adversario conectarse directamente a los hosts.

En última instancia, esto allana el camino para la explotación de otra falla de VMware (CVE-2023-20867, puntuación CVSS: 3.9), para ejecutar comandos arbitrarios y transferir archivos hacia y desde máquinas virtuales invitadas desde un host ESXi comprometido, como reveló Mandiant en junio de 2023.

Se recomienda a los usuarios de VMware vCenter Server que actualicen a la última versión para mitigar cualquier amenaza potencial.

Zi zoomSendmarc

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.