X-twitter Linkedin Whatsapp Facebook Instagram Youtube

Delincuentes chinos aprovechan un día cero de VMware para abrir puertas traseras en sistemas Windows y Linux

Se ha descubierto que el grupo chino patrocinado por el estado conocido como UNC3886 explota un fallo de día cero en los hosts VMware ESXi para abrir puertas traseras en sistemas Windows y Linux.

La vulnerabilidad de elusión de autenticación de VMware Tools, rastreada como CVE-2023-20867 (puntuación CVSS: 3,9), «permitía la ejecución de comandos privilegiados en máquinas virtuales invitadas Windows, Linux y PhotonOS (vCenter) sin autenticación de credenciales de invitado desde un host ESXi comprometido y sin registro predeterminado en las máquinas virtuales invitadas», afirma Mandiant.

UNC3886 fue documentado inicialmente por la firma de inteligencia de amenazas propiedad de Google en septiembre de 2022 como un actor de ciberespionaje que infectaba servidores VMware ESXi y vCenter con puertas traseras llamadas VIRTUALPITA y VIRTUALPIE.

A principios de marzo, el grupo fue vinculado a la explotación de un fallo de seguridad de gravedad media ya parcheado en el sistema operativo FortiOS de Fortinet para desplegar implantes en los dispositivos de red e interactuar con el malware antes mencionado.

El actor de la amenaza ha sido descrito como un colectivo adversario «muy hábil» dirigido a organizaciones de defensa, tecnología y telecomunicaciones en Estados Unidos, Japón y la región Asia-Pacífico.

Como parte de sus esfuerzos para explotar los sistemas ESXi, el actor de la amenaza también se ha observado la recolección de credenciales de los servidores vCenter, así como el abuso de CVE-2023-20867 para ejecutar comandos y transferir archivos hacia y desde máquinas virtuales invitadas de un host ESXi comprometido.

Un aspecto notable de la estrategia de UNC3886 es el uso de sockets de interfaz de comunicación de máquinas virtuales (VMCI) para el movimiento lateral y la persistencia continua, lo que le permite establecer un canal encubierto entre el host ESXi y sus máquinas virtuales invitadas

El desarrollo se produce mientras el investigador de Summoning Team Sina Kheirkhah revelaba tres fallos diferentes en VMware Aria Operations for Networks (CVE-2023-20887, CVE-2023-20888 y CVE-2023-20889) que podrían resultar en la ejecución remota de código.

ARTÍCULOS RELACIONADOS

Zi zoomSendmarc

OPINIÓN

Los ataques de ransomware, se desplomaron en marzo

Organizaciones solucionan solo el 21% de vulnerabilidades relacionadas con GenAI

Desde Países Bajos se advierte sobre ciberamenaza rusa que afecta a toda la sociedad

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.

SABER MÁS
Logo Ciber Seguridad Latam Blanco
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

© 2022 Ciberseguridad LATAM. All rights reserved.

Diseño y Programación Estudio UMO