Hacker Cinesi Sfruttano Zero-Day di VMware: Dettagli sulla Vulnerabilità CVE-2023-34048
Hacker Cinesi Hanno Silenziosamente Sfruttato la Vulnerabilità Zero-Day di VMware per 2 Anni
Un avanzato gruppo di spionaggio cibernetico connesso alla Cina, precedentemente collegato allo sfruttamento di falle di sicurezza in dispositivi VMware e Fortinet, è stato associato all’abuso di una vulnerabilità critica in VMware vCenter Server come zero-day dal tardo 2021.
“UNC3886 ha un track record nell’utilizzo di vulnerabilità zero-day per completare le loro missioni senza essere rilevati, e questo ultimo esempio dimostra ulteriormente le loro capacità”, ha dichiarato Mandiant, di proprietà di Google, in un rapporto pubblicato venerdì.
La vulnerabilità in questione è CVE-2023-34048 (punteggio CVSS: 9,8), una scrittura out-of-bounds che potrebbe essere sfruttata da un attore malevolo con accesso di rete a vCenter Server. È stata corretta dalla società controllata da Broadcom il 24 ottobre 2023.
Il fornitore di servizi di virtualizzazione, all’inizio di questa settimana, ha aggiornato il suo avviso per riconoscere che “si è verificato uno sfruttamento di CVE-2023-34048 nel mondo reale”.
UNC3886 è emerso per la prima volta nel settembre 2022, quando si è scoperto che sfruttava falle di sicurezza precedentemente sconosciute in VMware per inserire backdoor nei sistemi Windows e Linux, distribuendo famiglie di malware come VIRTUALPITA e VIRTUALPIE.
Le ultime scoperte di Mandiant mostrano che la vulnerabilità zero-day sfruttata dall’attore di uno stato-nazione mirato a VMware era proprio CVE-2023-34048, consentendo di ottenere accesso privilegiato al sistema vCenter e enumerare tutti gli host ESXi e le rispettive macchine virtuali ospiti collegate al sistema.
La fase successiva dell’attacco coinvolge il recupero delle credenziali “vpxuser” in chiaro per gli host e la connessione a essi per installare i malware VIRTUALPITA e VIRTUALPIE, consentendo all’attaccante di connettersi direttamente agli host.
Ciò alla fine apre la strada allo sfruttamento di un’altra falla di VMware (CVE-2023-20867, punteggio CVSS: 3,9) per eseguire comandi arbitrari e trasferire file da e verso le VM ospiti da un host ESXi compromesso, come rivelato da Mandiant nel giugno 2023.
Si consiglia agli utenti di VMware vCenter Server di aggiornare alla versione più recente per mitigare eventuali minacce potenziali.
Negli ultimi anni, UNC3886 ha sfruttato anche CVE-2022-41328 (punteggio CVSS: 6,5), una falla di attraversamento del percorso nel software Fortinet FortiOS, per distribuire gli impianti THINCRUST e CASTLETAP per eseguire comandi arbitrari ricevuti da un server remoto ed estrarre dati sensibili.
Questi attacchi mirano specificamente alle tecnologie firewall e di virtualizzazione perché mancano del supporto delle soluzioni di rilevamento e risposta degli endpoint (EDR) al fine di persistere all’interno degli ambienti bersaglio per periodi prolungati.